nicht angemeldet
MySQL-Datenbank hacken?
Guten Abend allerseits,
kann mir mal jemand sagen, ob das tatsächlich wahr, oder einfach nur Schachsinn ist, was der Autor hier verfasst hat?
Für den langen Link kann ich nichts...
http://www.highgames.com/?set=hardwareview&view=4&ancorbyimage=Machen%20Sie%20Ihre%20Datenbank%20in%20wenigen%20Schritten%20sicherer
-
Moin!
kann mir mal jemand sagen, ob das tatsächlich wahr, oder einfach nur Schachsinn ist, was der Autor hier verfasst hat?
Für den langen Link kann ich nichts...Aber du hättest ihn wenigstens klickbar machen können:
Die grundsätzlichen Angriffsmöglichkeiten, die geschildert werden, sind korrekt - wobei im Prinzip nur eine einzige Methode genannt wird, nämlich Brute Force.
Die Gegenmaßnahmen hingegen sind eher zweifelhaft.
Beispielsweise die Veränderung der Portnummer: Entweder will oder muß ich MySQL im Internet für andere anbieten - dann benötige ich zwingend einen offenen Port, und es ist vollkommen egal, ob das nun der Standardport ist, oder ein anderer: Gefunden werden beide Ports mit ziemlicher Sicherheit.
Oder ich muß KEINEN offenen Port im Internet anbietet. Dann sollte ich MySQL natürlich so konfigurieren, dass die lokale Verbindung zur Datenbank nicht über TCP/IP läuft, sondern über Unix-Sockets. "--skip-networking" ist da der passende MySQL-Konfigurationsparameter.
Und es stimmt auch nicht, dass alle Zugriffe auf den offen gelassenen alten Port nur noch von Hackern kommen können: Sicherlich viele PHP-Anfänger werden bei ihren ersten DB-Schritten nicht die 100% korrekten Verbindungsdaten eingeben, und vermutlich werden es auch einige Profis beim ersten Mal falsch machen, weil veränderte Portnummern nun mal eher die Ausnahme sind.
Abgesehen davon kann man einen Port nun mal nicht einfach offen lassen, man benötigt immer irgendeine Art von Programm, welches den Port öffnet und dort lauscht. Traut man sich aber wirklich zu, so ein Programm, welches mitloggt, welche "bösen Buben" zur vermeintlichen Datenbank Kontakt aufnehmen, so zu schreiben, dass darin KEINE Sicherheitslücken sind? Eher baut man sich eine zusätzliche Lücke ein.
Der Rest des Artikels beschreibt etwas langatmig und ohne konkret zu werden, wie man sich denn nun angreifender Weise per brute force in eine DB reinhacken kann. Dem anvisierten Titel des Artikels kommt der Autor jedenfalls kein Stückchen nahe.
Auf einer Skala von 1 bis 10 erhält er eine 2.
- Sven Rautenberg
-
Vielen Dank für Deine kleine Rezension ;-)
Da ich selbst Anfänger in diesem Gebiet bin, wollte ich mich erst bei erfahrenen Anwendern erkundigen, bevor ich blind solchen Artikeln vertraue.Gruß Martin