[pgsql-jp: 32792] Re: DBサーバの分離のメリット
Asuka Ito
asuka @ of-my.net
2004年 4月 15日 (木) 17:05:50 JST
伊藤です。
Thu, 15 Apr 2004 16:26:07 +0900
Yamada Kazuo <yamada @ sampoji.or.jp> wrote:
> 個人情報を扱うので、参照されるだけでも不味いです。
> データの破壊よりも、テーブルの中のデータの持ち出しが一番問題にしている部分で
> す。
リモートのDBにアクセスするには多くはSQL経由になるでしょう(それ以外の手
段があるのならば、構成を見直したほうがいい場合が多いかと)
ということは、SQLが正しく通るようにテーブル名やフィールド名を知る必要が
あるわけです。
私が不正侵入者ならば、このためにそのサーバに入っているCGIを読みますね。
perlだとすぐ内容が見えますから最高です(侵入者にとって)。
JavaやC/C++で作ったものならばデコンパイルなりなんなりしなければならない
ので、ちょっと辟易するかな。
しかし、root権奪取するぐらいのヤツならこれくらい難なくやるでしょうけど。
家の防犯と同じで、「100%侵入不能」ってありえないと思うのです。できるこ
とといえば、進入しにくくして、時間を稼ぐ。時間が稼げれば侵入者に気づきや
すい。
# テーブル内のデータにスクランブルや暗号化を施すと、解読にさらに手間がか
かりますね。
--
Asuka Ito <asuka @ of-my.net>
pgsql-jp メーリングリストの案内