[Python-de] MSSQL - Python -PHP Kopplung

Diez B. Roggisch deets at web.de
Die Mai 24 12:08:12 CEST 2005


> Nun, es gibt noch andere Möglichkeiten, das netzwerktechnisch
> hinzukriegen, ohne einen zusätzlichen, eventuell überflüssigen und viel
> Aufwand erzeugenden Layer einzubauen.

Soviel Aufwand bedeutet das ja nicht - letztlich kapselt man die logik 
in ein API, das halt remote aufgerufen wird - was eh gutes Design ist 
(API, nicht zwangsweise remote - aber sicherer ist auch das)

> Möglichkeit 1)
> 
> SSL-Verbindungen zur Datenbank, möglichst weit eingeschränkter
> Datenbank-Benutzer.

SSL hat damit so gut wie nix zu tun bzw. ist hier nicht das Problem  - 
ManInTheMiddle Attacken sind natürlich auch möglich, aber hier geht's um 
Datenbankzugriff vom Webhost aus- und exploits der DB, was halt mal 
schnell passieren kann. Und wenigstens lesen kann der Angreifer alles, 
wenn er Zugriff hat. Viele DBs kennen dann auch nur wenig Abstufungen 
in den Zugriffsrechten - und die sauber hinzubekommen ist ziemlich fummelig.

> 
> Möglichkeit 2)
> 
> Die Datenbankverbindung einfach tunneln, z. B. mittels ssh (Cygwin ssh
> oder plink aus dem putty-Projekt auf Windows-Seite).
> 
> Auf Unix-Seite sprichst du den SQL-Server dann wie einen lokalen Server
> a.

> 
> Man kann natürlich auch anders tunneln, z. B. mit stunnel.
> 

Das ist ja wieder dasselbe - woher das ssl kommt ist ja eigentlich egal.

Sicher macht eine verschlüsselte Verbindung ein Auspähen der Daten 
schwieriger/unmöglich und trägt so zur Sicherheit bei - aber einen 
komprommitierten Client hindert das an nichts. Und das scheint ja eher 
die Befürchtung zu sein - vor allem wenn der NT-Server wohl eh in der 
DMZ steht und somit nicht wirklich am Internet teilnimmt.

MfG Diez