Christian Stubbs wrote:
> [Ich beziehe mich mit Datenbanken konkret auf mysql, bin aber auch an
> der Situation bei anderen Datenbanken interessiert.]
>
> Gerade bei Datenbanken wird oft darauf hingewiesen, dass man sie nicht
> von außerhalb Zugänglich machen und mit einem Paketfilter schützen soll.
Nun, prinzipiell gilt natürlich, ein nicht-exponierter Dienst kann nicht
kompromittiert werden. Damit ist es gute Praxis, nach "außen" so wenig wie
möglich zu exponieren. Wenn ein Host gegenüber Dritten nur und ausschließlich
HTTP anbieten soll dann macht es auch wenig Sinn, die Infrastruktur dahinter
zugänglich zu machen.
> Dabei haben Datenbanken eigentlich oft ein gute Benutzerverwaltung mit
> fein einstellbaren Berechtigungen. Ist das so löchrig implementiert,
> dass man sich darauf nicht verlassen kann?
Nun, ein DBMS ist in aller Regel um Größenklassen komplexer, als ein
Paketfilter. Daher ist es schonmal eine Sache einfacher Logik, als
Schutzmaßnahme das weniger komplexe System herzunehmen.
Zudem, scott! tiger! ;-).
--
All we have to fear is fear itself. (And spyders)