Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / MySQL Новый топик    Ответить
 Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
nvrabotaru
Member

Откуда:
Сообщений: 5
Добрый день.
Собственно, вопрос:
Возможно ли перехватить запрос к MySQL не зная логина и пароля? Есть сервис, который напрямую шлет sql запросы в БД на другой сервер, который находится в другом городе.
Есть ли смысл с точки зрения безопасности и быстродействия переделывать принцип отправки данных, например, на обмен через JSON?
12 апр 21, 07:32    [22307402]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
Akina
Member

Откуда: Зеленоград, Москва, Россия
Сообщений: 21181
nvrabotaru
Возможно ли перехватить запрос к MySQL не зная логина и пароля?
MITM перехватит всё. Независимо от условий.
12 апр 21, 08:54    [22307423]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
Alex_Ustinov
Member

Откуда: Nickel
Сообщений: 3799
nvrabotaru,

JSON такой же plain/text - только не "Вася" а {Name: "Вася"}

Есть стандартные способы для защищенного соединения - шифрование через SSL или соединение поверх SSH.
И то и другое "проще пареной репы"
12 апр 21, 09:31    [22307438]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
nvrabotaru
Member

Откуда:
Сообщений: 5
По защищенному соединению - шифрование через SSL - если канал нестабильный, соединение будет постоянно рваться. В нашем случае плохая связь. Это не проблема для данного варианта?
Может в этом случае лучше будет просто шифровать json строку и отправлять методом post?
15 апр 21, 08:13    [22309151]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
nvrabotaru
Member

Откуда:
Сообщений: 5
Да, и еще немаловажная вещь. Запросы отправляются каждую секунду.
15 апр 21, 13:05    [22309313]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
Akina
Member

Откуда: Зеленоград, Москва, Россия
Сообщений: 21181
nvrabotaru
Может в этом случае лучше будет просто шифровать json строку и отправлять методом post?
Да не вопрос. Просто перехваченные наборы шифрованных строк, передаваемых в открытом виде, продавливаются намного проще. Ну и на "той стороне" нагрузка на сервер вырастет.
15 апр 21, 13:30    [22309321]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
nvrabotaru
Member

Откуда:
Сообщений: 5
И какой путь избрать? Что посоветуете?
16 апр 21, 15:50    [22309902]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 53424
Сначала надо определиться с вероятностями каждого рискового сценария и их последствиями. Потом составить план предотвращения каждого из сценариев с требуемым для этого бюджетом. Потом посмотреть на последнее, почесать тыковку и махнуть рукой.

Вероятнее всего запросы и сейчас посылаются на "напрямую", а через VPN, что сводит сабж на нет.

Сообщение было отредактировано: 17 апр 21, 13:28
17 апр 21, 13:35    [22310155]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
nvrabotaru
Member

Откуда:
Сообщений: 5
А как проверить, что данные идут через vpn?
19 апр 21, 07:44    [22310722]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 53424
Спросить сисадмина.
19 апр 21, 13:43    [22310936]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
Alex_Ustinov
Member

Откуда: Nickel
Сообщений: 3799
Dimitry Sibiryakov,

если есть сисадмин, то спрашивать ничего не надо, он давно бы сказал как в анекдоте про китайца-космонавта - "руками не трогать!"
19 апр 21, 19:58    [22311229]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
dasha23
Member

Откуда:
Сообщений: 7
Alex_Ustinov,

А что на счет IPSec?
26 апр 21, 15:39    [22314534]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
Alex_Ustinov
Member

Откуда: Nickel
Сообщений: 3799
dasha23,

туннели как обычно, всегда пожалуйста, только это к MySQL конкретно не относится
26 апр 21, 23:57    [22314817]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
Fitter2
Member

Откуда:
Сообщений: 151
Хотел пооумничать и сказать, что с версии 5,7 все соединения секюрны.

Проверил на 8ке, и не хрена подобного.
29 апр 21, 12:42    [22316264]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
dasha23
Member

Откуда:
Сообщений: 7
Alex_Ustinov,

При использовании туннеля как могут перехватить данные, можете поделиться?
5 май 21, 15:34    [22318857]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
miksoft
Member

Откуда:
Сообщений: 38828
dasha23
Alex_Ustinov,

При использовании туннеля как могут перехватить данные, можете поделиться?
Во-первых, туннели - это сетевая инфраструктура и оффтоп в подфоруме в MySQL.
Во-вторых, у нас "запрещается публикация серийных ключей, лицензий, способов взлома ПО и других методов, которые можно квалифицировать как преследуемые по закону". Ответ на ваш вопрос будет на грани или за гранью этого запрета.
5 май 21, 15:46    [22318866]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли перехватить запрос к MySQL не зная логина и пароля  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 53424
dasha23,

На входе и выходе из него проще всего.
6 май 21, 13:33    [22319208]     Ответить | Цитировать Сообщить модератору
Все форумы / MySQL Ответить