C'è un vantaggio nell'avere connessioni SSL su localhost?

3

Ho un server di posta con un back-end del database MySQL. Il server di posta e il DB MySQL sono entrambi installati sullo stesso computer Windows. C'è qualche vantaggio nell'usare connessioni SSL tra le due applicazioni su localhost?

Penso che la connessione stia usando TCP e non socket locali.

Basato su questa domanda su SSL su un trusted LAN , non penso che ci sia alcun vantaggio per le connessioni locali. Sembra che un utente malintenzionato debba trovarsi sulla macchina per leggere il traffico e, se gli attaccanti possono salire sulla nostra macchina, probabilmente possono ottenere ciò che vogliono. Ma questa configurazione stava già usando SSL quando mi sono unito al team. Ho eseguito un aggiornamento MySQL e ora ho problemi con la connessione SSL. Mi chiedo se sarebbe corretto convincere il team che non abbiamo bisogno di SSL su localhost comunque.

    
posta Bad Tea 17.01.2014 - 20:53
fonte

2 risposte

4

Se non hai altri utenti su questa macchina potresti avere ragione. Se si dispone di altri account con la possibilità di connettersi da remoto potrebbero essere compromessi. Se l'attaccante è in grado di possedere completamente la macchina, viene comunque arrestato. Ma anche se l'hacker non può ottenere la root, potrebbe essere in grado di fare in modo che mysqld si blocchi e quindi di prendere il controllo della porta (la porta predefinita è 3306, che non ha bisogno di permessi speciali). In questo modo l'utilizzo di SSL potrebbe aiutare un po ', perché l'identità del server (hacker) non può essere verificata.

Quindi non aiuta molto potrebbe aiutare un po '.

    
risposta data 17.01.2014 - 22:43
fonte
0

SSL ha 2 funzioni:

  1. Per impedire che il flusso di dati venga decodificato da un utente malintenzionato in ascolto sulla rete; e
  2. Assicurare al client che si connetta al server autentico e non un vero e proprio man-in-the-middle.

La prima funzione non è necessaria su localhost, perché per poter ascoltare lo streaming, l'utente malintenzionato avrebbe dovuto essere già entrato nel sistema. Questo è vero su Windows e su altri sistemi operativi.

La seconda funzione è possibile solo se il client si connette al server tramite il suo nome di dominio completo, perché chiunque (o nessuno) può ottenere un certificato per "localhost".

    
risposta data 29.04.2016 - 00:15
fonte

Leggi altre domande sui tag