1. Trang chủ
  2. Câu hỏi và trả lời
  3. Có sử dụng Heroku Postgres an toàn chống lại các cuộc tấn công MITM không?

Có sử dụng Heroku Postgres an toàn chống lại các cuộc tấn công MITM không?

2016-01-26 19 views
5

Với các câu hỏi like this, có vẻ như cách duy nhất để ngăn chặn các cuộc tấn công trung gian là sử dụng sslmode=verify-full. Điều này cũng được giải thích trong số Postgresql docs.Có sử dụng Heroku Postgres an toàn chống lại các cuộc tấn công MITM không?

Khi tôi sử dụng DATABASE_URL do Heroku cung cấp trong ứng dụng của tôi, có đảm bảo rằng sẽ không có tấn công MITM không? (Hoặc hỏi một cách khác, liệu Heroku có làm gì đó đằng sau hậu trường để đảm bảo rằng Heroku <-> Heroku-Postgres là an toàn không?)

Nguồn

2016-01-26 Joe

+0

MITM của ai? Heroku? NSA? –

+0

Tôi cũng sẽ quan tâm đến mọi thứ bạn tìm thấy liên quan đến an ninh PG Heroku. Bạn có tìm thấy câu trả lời cho điểm cụ thể này không? Cảm ơn! –

Trả lời

2

Không, Heroku Postgres không an toàn với MitM. Nguy cơ cao nhất là chạy pg:psql từ dòng lệnh, vì nó khá dễ dàng để có được giữa máy tính xách tay của bạn và Heroku bằng cách sử dụng một dứa WiFi hoặc các công cụ tương tự. Bắt giữa Dynos của bạn và cơ sở dữ liệu khó hơn nhiều. Điều này là có thể vì Heroku đã không tạo ra một CA để ký giấy chứng nhận cơ sở dữ liệu của họ, do đó không có gốc ủy thác để sử dụng khi bạn đang kết nối.

Tôi đã thực hiện việc viết một MitM thực sự chống lại Heroku Postgres here, vui lòng gửi một vé hỗ trợ với Heroku nói rằng bạn muốn xem chúng tạo CA và phát hành thư mục tin cậy mà chúng tôi có thể sử dụng để xác thực kết nối nếu bạn quan tâm đến điều này.

Nguồn

2016-06-14 17:23:34 thusoy

Các vấn đề liên quan

 Các vấn đề liên quan