我观看了 DEFCON,专门讨论 NoSQL,特别是 CouchDB。 他们观察到一些攻击向量,例如访问客户端库(伪 SQL 透明层)、访问数据库然后暴力破解 key (以无架构方式)、json/view 注入(inject)。 如果我直接从互联网访问数据库,并在数据库验证、身份验证中使用。这种方式会降低我的数据库的安全性吗?
不幸的是,由于缺乏使用 CouchDB 的经验,无法进行准确的分析,亲爱的同事们,请相信您的意见。
谢谢。
最佳答案
不,我不会这样做。
我认为 CouchDB 的安全性不够精细,不适合发布在互联网上。没有办法让“某些”数据通过,而不是全部。在普通的 SQL DB 上,您可以限制某些表等。但在 Couch 中则不行。由于无模式和文档存储,文档就是文档就是文档,无论它是“ secret ”还是“重要”。
这是一个很好的后端,但不适用于野生互联网。
关于database-design - 让应用程序通过 REST Api 直接访问 CouchDB 是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11887901/