phpbar.de logo

Mailinglisten-Archive

DoS bei MySQL

DoS bei MySQL

Dirk Munzinger mysql-de_(at)_lists.bttr.org
Wed, 02 Oct 2002 10:48:17 +0200


Hallo Franz,

Franz Alt wrote:

> Es geht in meinem aktuellen Fall um eine Diplomarbeit in der wissenschaftliche Experimente
> moeglichst schnell publiziert werden sollen. Die Daten werden aus einem
> Simulationsprogramm zu einer Datenbank auf einem Webserver geschickt und der generiert
> daraus seine Webseiten. Fuer Verschluesselung bleibt mir keine Bearbeitungszeit mehr.

Das ist ein schlechtes Argument - Zeit wirst Du dann wieder haben, wenn 
Dir jemand die DB leer geräumt hat. Wie ist den die IP des DB-Servers ? 
Ich schau mal nach, ob ich Dir ein wenig Zeit beschaffen kann ;-)

> Ausserdem wird andauernd was per FTP hochgeladen, was ja kaum sicherer ist.

Nach also bitte - das ist jetzt schon garkein Argument. Was hälst Du von 
  ssl,scp und ssh ?
Ich schätze mal, dass Deine Dipl.Arbeit nicht das Thema Sicherheit im 
Internet trägt *grins*

> Als einzige Sicherung habe ich halt dem user, der von % aus zugreifen kann nur die
> allernoetigsten Rechte (Select, insert, update, delete, file) gegeben. Ich weiss, auch mit
> `delete from <table> where 1` kann man ziemlich schnell tabellen leer raeumen...
> Aber im Idealfall wird hier die Datenbank ja nur als temporaerer "Puffer" benutzt.

Hhmmm. Dann hat er ja alle Rechte die er benötigt um mal etwas Ordnung 
in den Laden zu bringen. Bitte Unterscheide hierbei aber zwei Dinge:

a) die Benutzerrechte betreffen nur den Server bzw. die entsprechend 
freigegebene DB. Wenn also Benutzer/Passwort bekannt ist, kanns los gehen

b) die Verschlüsselung bzw. Nichtverschlüsselung bezieht sich auf die 
Verbindung selbst und betreffen _alle_ Verbindungen. Stcihwort: grosser 
Lauschangriff.

Gruß, Dirk

---
Infos zur Mailingliste, zur Teilnahme und zum An- und Abmelden unter
-->>  http://www.4t2.com/mysql 



php::bar PHP Wiki   -   Listenarchive