我看了DEFCON,專門討論NoSQL和CouchDB。 他們觀察到一些攻擊向量,如訪問客戶端庫(僞SQL透明層),訪問數據庫然後使用暴力密鑰(以無模式方式),json/view注入。 如果我直接從互聯網上訪問數據庫,並使用數據庫驗證,身份驗證。這樣做是否會讓我的數據庫不安全?通過REST API讓應用程序直接訪問CouchDB是否安全?
不幸的是,缺乏使用CouchDB的經驗阻礙了準確的分析,依靠您的意見親愛的同事。
謝謝。
不,我不會這樣做。
我不覺得CouchDB的安全性足夠精細,足以讓它適合在互聯網上發佈。沒有辦法讓「一些」數據通過,而不是全部。在普通的SQL DB上,可以限制某些表等,但不能在Couch中使用。無模式和文檔存儲,文檔是文檔,無論是「祕密」還是「重要」。
這是一個很好的後端,但不是在野外互聯網上。
給予任何基於Web的DB的直接訪問會自找麻煩,但我想這取決於你的設計...
使用CouchDB,你必須爲每個用戶提供他們自己的數據庫,的選項,會減輕某些問題。您還可以更改「直接」CouchDB用戶的讀/寫權限。
詳細兩種技術的說明可以在這裏找到: CouchDB Authorization on a Per-Database Basis
與數據驗證組合的授權不夠安全? – GijsjanB 2012-08-18 22:30:26
我的觀點僅僅是根據我的經驗,並非數據庫中的所有內容都是爲公共消費而設計的。而且隨着沙發,如果你有權訪問它,你可以訪問它的全部。 – 2012-08-18 23:57:42