Amazon RDS Connessione SSL MySQL, la password è stata inviata in chiaro?

2

Sto testando Amazon RDS MySQL e voglio collegarmi all'istanza MySQL usando SSL. Funziona piuttosto bene, ma c'è qualcosa che non mi è chiaro: leggere le FAQ ( link ):

SSL support within Amazon RDS is for encrypting the connection between your application and your DB Instance; it should not be relied on for authenticating the DB Instance itself.

sembra che una volta stabilita la connessione, i dati siano crittografati durante la comunicazione ma la parte di autenticazione non lo è; quindi: le password MySQL sono state inviate in chiaro?

    
posta Eugenio 10.05.2016 - 13:17
fonte

1 risposta

5

Se guardi la documentazione di MySQL Internals , puoi vedere che il protocollo inizializza SSL / TLS dopo il pacchetto iniziale di handshake, ma prima della fase di autenticazione:

IduepercorsimostratidalprimostatosibasanosulfattocheSSL/TLSsiaabilitatoomeno.Pertanto,seSSL/TLSèabilitato,l'autenticazioneavvienedopocheilcanaleprotettoèstatocreatoelecredenzialinonvengonoinviateinchiaro.

L'aspettochiavedellaformulazionedelladocumentazionechehaicitatoèchedice"non si dovrebbe fare affidamento sull'autenticazione dell'istanza di DB stessa" e non "autenticare in l'istanza DB stessa". Sospetto che il punto che stanno facendo è che, dal momento che ogni istanza DB ha un certificato generato automaticamente, non devi fare affidamento su questo per verificare che stai parlando all'istanza del database che hai richiesto.

    
risposta data 10.05.2016 - 13:28
fonte

Leggi altre domande sui tag