Le password db sono inutili per l'autenticazione locale nelle app (web)?

0

Sono un amministratore di web developer / sys e sto leggendo sulla sicurezza dell'autenticazione utente (per esempio) di MySQL per le app Web e su qualsiasi altro caso di utilizzo che implica l'autenticazione locale in questo contesto, come un framework per un gioco online.

Mi sono imbattuto in alcune domande e sembra che tutti siano d'accordo nell'usare password complesse per gli utenti locali di MySQL. Sto usando la stessa cosa per user / dbname / password (edit: only for development!).

La mia domanda è, se l'utente può essere utilizzato solo in localhost / 127.0.0.1 , quindi, qual è lo scopo della password? Se qualcuno ottiene l'accesso al sistema, può accedere ai file del database e ottenere le password dai file .php . Inoltre, se un virus ha infettato il sistema, non importa quanto sia strong la password, di nuovo, può accedere ai file.

In quale scenario una password utente locale (strong) avrebbe davvero protetto i database?

Qualcuno sarebbe così gentile da spiegarlo in dettaglio? Lo apprezzerei.

    
posta Chazy Chaz 25.07.2017 - 21:28
fonte

1 risposta

2

Ad esempio, hai una pagina di caricamento che accidentalmente ha consentito il caricamento di file php in una directory eseguibile o un EXEC php accidentale in esecuzione su una stringa a cui un utente potrebbe ottenere un valore.

In questi casi (e molti altri) un utente malintenzionato non ha necessariamente accesso ai file sul server, ma potrebbe comunque eseguire codice arbitrario che è possibile caricare. Le password non sicure per l'utente locale MySQL facilitano il compromesso con tale codice.

Una buona segmentazione delle autorizzazioni di accesso ai file può anche aiutare a separare più siti o servizi in esecuzione sulla stessa macchina, tuttavia, è possibile che un attacco contro l'istanza MySQL (se si verifica solo la presenza di localhost) venga compromesso da siti e servizi da non è a conoscenza dell'utente che esegue, solo l'indirizzo IP del client.

    
risposta data 25.07.2017 - 22:07
fonte

Leggi altre domande sui tag