Quanto è sicuro il protocollo del filo MongoDB?

Naviga le tue risposte
5

Sto costruendo un'applicazione standalone JavaFX 2.0 (verrà distribuita come .exe) e si aprirà una connessione a un'istanza MongoDB. La connessione è solo una connessione Mongo standard che utilizza il protocollo del filo Mongo.

Il protocollo del filo di Mongo è protetto sufficiente , oppure gli utenti potrebbero esaminarlo per vedere i dati passati e viceversa?

Le connessioni al database Mongo saranno in grado di utilizzare SSL in futuro, ma non è ancora disponibile.

Invece, dovrei utilizzare un servizio web REST per l'accesso ai dati con SSL? La connessione diretta al database è un po 'più veloce quindi sarebbe bello se potessi tenerlo, ma anche non avere grossi problemi di sicurezza.

    
posta Jon Onstott 22.10.2013 - 18:13
fonte

2 risposte

5

Solo per vostra informazione. Fornire una connessione diretta al database in un'applicazione lato client è una cattiva idea . Costruisci un'interfaccia RESTful che consente l'autenticazione corretta e la convalida dell'input. Ciò ti consentirà di avere un controllo più rigido su ciò a cui le tue applicazioni possono accedere.

Il problema è che attualmente MongoDB non offre l'incapsulamento SSL. Ciò significa che di per sé il protocollo del filo può essere intercettato (i dati inviati tramite il protocollo sono esposti). Quindi se stai eseguendo questo protocollo non localmente (quindi attraverso una rete) allora sì è non sicuro , ma non perché il protocollo stesso non sia sicuro, ma perché l'implementazione attualmente non può garantire la riservatezza o l'integrità a causa della mancanza di incapsulamento.

Tuttavia puoi risolvere questo problema incapsulando il protocollo te stesso . Se il protocollo non offre SSL, prima crei un tunnel e invii il protocollo attraverso quel tunnel. Ad esempio, si crea una VPN crittografata tra il proprio server web e MongoDB e tramite questa VPN si invia la connessione del protocollo wire (si noti che è necessario utilizzare un protocollo VPN sicuro). Preferibilmente questo è implementato in modo da avere la crittografia end-point.

Ciò impedirà agli intercettatori di intercettare la connessione via cavo.

    
risposta data 22.10.2013 - 18:28
fonte
5

Mongo database connections will be able to use SSL at some point in the future, but that isn't available yet.

Scrivendo per avere un riferimento più recente per questo.

Da link

New in version 3.0: Most MongoDB distributions now include support for SSL.

...

Certain distributions of MongoDB do not contain support for SSL. To use SSL, be sure to choose a package that supports SSL.

Puoi verificare se MongoDB per il tuo sistema operativo / distribuzione supporta SSL da qui .

    
risposta data 21.01.2016 - 23:20
fonte

Leggi altre domande sui tag

Come mitigare gli attacchi DDoS basati su SSL? CentOS per i test di sicurezza?