Avere l'indirizzo IP e il nome del mio database visibili al pubblico sono un rischio per la sicurezza?
Ho hosting con Godaddy, un piano di hosting condiviso. Quando mi collego al mio DB, tramite MS-SQL-MS, posso vedere i nomi di tutti i database sul piano di hosting condiviso. Non ho il permesso di fare molto, ma lo trovo strano.
Pensieri?
Sì, questo è il prezzo che si paga per l'hosting SQL a tariffa ridotta. Non è la fine del mondo, ma ottieni quello per cui paghi.
L'idea di Sicurezza attraverso l'oscurità è solitamente considerata una cattiva pratica quando è basata su di essa. Piuttosto è un'idea migliore per proteggere i sistemi come se un utente malintenzionato avesse piena visibilità su come sono state impostate le cose. È anche importante notare che i database in esecuzione su un'istanza di GoDaddy non sono visibili al pubblico: sono visibili agli altri utenti paganti che dispongono di database in esecuzione sui server di GoDaddy. Non un bar alto per l'ingresso, ma anche non il pubblico. Detto questo, i meccanismi di sicurezza resi disponibili da SQL Server dovrebbero essere in grado di isolare le istanze di database l'una dall'altra e, a mia conoscenza, non è mai esistita una violazione della sicurezza di GoDaddy relativa alla possibilità di vedere altre istanze di database in esecuzione sulla stessa istanza di SQL Server.
Ci sono diversi motivi per non utilizzare GoDaddy per l'hosting del database, ma non penso che questa particolare stranezza sia una di queste. Personalmente, li ho usati per l'hosting di DB in passato e non lo consiglierei per altro che per progetti hobbistici.
Leggi altre domande sui tag web-hosting penetration-test databases