Database design 通过RESTAPI让应用程序直接访问CouchDB安全吗?
我看了DEFCON,专门研究NoSQL,尤其是CouchDB。 他们观察到一些攻击向量,比如访问客户端库(伪SQL透明层)、访问db,然后使用蛮键(以无模式的方式)、json/视图注入。 如果我从互联网直接访问数据库,并在数据库验证、身份验证中使用。这样会降低我的数据库的安全性吗 不幸的是,由于缺乏与CouchDB合作的经验,无法进行准确的分析,亲爱的同事们,请相信您的意见Database design 通过RESTAPI让应用程序直接访问CouchDB安全吗?,database-design,nosql,couchdb,security,database-security,Database Design,Nosql,Couchdb,Security,Database Security,我看了DEFCON,专门研究NoSQL,尤其是CouchDB。 他们观察到一些攻击向量,比如访问客户端库(伪SQL透明层)、访问db,然后使用蛮键(以无模式的方式)、json/视图注入。 如果我从互联网直接访问数据库,并在数据库验证、身份验证中使用。这样会降低我的数据库的安全性吗 不幸的是,由于缺乏与CouchDB合作的经验,无法进行准确的分析,亲爱的同事们,请相信您的意见 谢谢。不,我不会这样做 我觉得CouchDB的安全性不够精细,不适合发布在互联网上。没有办法让“一些”数据通过,而不是全部
谢谢。不,我不会这样做 我觉得CouchDB的安全性不够精细,不适合发布在互联网上。没有办法让“一些”数据通过,而不是全部。在普通的SQL DB上,可以限制某些表等,但不能限制在coach中。由于无模式和文档存储,文档就是文档,无论它是“机密”还是“重要”文档
这是一个很好的后端,但不是在疯狂的互联网上 不,我不会这样做 我觉得CouchDB的安全性不够精细,不适合发布在互联网上。没有办法让“一些”数据通过,而不是全部。在普通的SQL DB上,可以限制某些表等,但不能限制在coach中。由于无模式和文档存储,文档就是文档,无论它是“机密”还是“重要”文档
这是一个很好的后端,但不是在疯狂的互联网上 直接访问任何基于web的数据库都会带来麻烦,但我想这取决于您的设计 使用CouchDB,您可以选择为每个用户提供他们自己的数据库,这将缓解某些问题。您还可以更改“direct”CouchDB用户的读/写权限 有关这两种技术的详细说明,请参见:
直接访问任何基于web的数据库都会带来麻烦,但我想这取决于您的设计 使用CouchDB,您可以选择为每个用户提供他们自己的数据库,这将缓解某些问题。您还可以更改“direct”CouchDB用户的读/写权限 有关这两种技术的详细说明,请参见:
授权与数据验证结合起来是否不够安全?我的观点很简单,根据我的经验,并非数据库中的所有内容都是为公众消费而设计的。而对于coach,如果你可以访问其中任何一个,那么你就可以访问所有内容。授权与数据验证结合起来是否不够安全?我的观点很简单,根据我的经验,数据库中并非所有内容都是为公众消费而设计的。有了沙发,如果你可以访问任何一个,你就可以访问所有的。