2007/1/17, Ricardo Mun~oz A. <[EMAIL PROTECTED]>: > Rodrigo Fuentealba wrote: > > 2007/1/16, Cristian Muñoz <[EMAIL PROTECTED]>: > >> Te refieres a usar Mysql por comandos?. o se podria utilizar > >> aplicaciones > >> como por ejemplo SQLyog. > > > > Top posting. > > > > Algunos datos sobre la nula seguridad de MySQL en red: > > [...] > > > (cualquier h4x0r sabria como entrar, o podria dejar una aplicacion > > corriendo que te haga brute force para sacarte la password... yo lo he > > hecho con fines desesperados cuando se fue el pseudo-DBA de una > > empresa sin dejar claves, y funciona). Usa nmap para testear. > > hmm... es decir no leiste bien el manual de MySQL donde se indica como > hacerlo usando la opcion --skip-privileges?? ;)
bueno, eso es un tremendo backdoor de seguridad, tener una opcion que te diga que quieres saltarte los privilegios! > > De otra manera, deberias filtrar el acceso a MySQL usando iptables, > > permitiendo todo el trafico desde tal y tal servidor al puerto 3306 de > > tu MySQL y denegando todo el resto, de tal manera que nadie lo vea. > > (ya aprendi, usa REJECT!) > > bah, eso es obviamente lo que se hace de todas maneras en un servidor de > verdad. se filtran todos los puertos y se dejan solo los con servicio > para el mundo exterior... Nunca es malo dejarlo en claro. > > El tema de la integridad referenciada es tambien bastante delicado en > > MySQL, con MyISAM que son tablas sueltas no mas (para eso mejor usar > > DBase 3, a la antigua...) > > mucha gente prefiere MyISAM justamente porque no necesitan integridad > referencial, pero si el mayor rendimiento posible... Entonces no es un RDBMS de verdad... si no maneja relaciones, ahora puedo demandarlos por falsa propaganda? > > o InnoDB que es mas lento que auto en pana > > de bencina pero que resuelve la integridad. > > datos concretos al respecto?? Hay algunas consultas que demoran mas de 40 minutos en caerse, que en PostgreSQL las he resuelto bien y en unos 30 segundos. Envie el reporte con datos y no he obtenido respuesta sobre por que se cae... siendo que estuve con 5.1.14 y 5.0.27 > > Sobre phpMyAdmin, es un cacho de seguridad enorme el mantenerlo > > correctamente... Suerte!!! > > una validacion simple seria controlar su acceso desde Apache denegando > cualquier solicitud que no venga desde cierta IP... Claro... -- Rodrigo Fuentealba Cartes Desarrollador de Sistemas Web Registered User 387639 - http://counter.li.org
