¿Sería un riesgo para la seguridad tener la dirección IP y el nombre de mi base de datos visibles para el público?
Tengo hosting con godaddy, un plan de hosting compartido. Cuando me conecto a mi DB, a través de MS-SQL-MS, puedo ver los nombres de todas las bases de datos en el plan de alojamiento compartido. No tengo permiso para hacer mucho, pero me parece extraño.
¿Pensamientos?
Sí, este es el precio que paga por el alojamiento de SQL con tasa de corte. No es el fin del mundo, pero obtienes lo que pagas.
La idea de Security Through Obscurity generalmente se considera una mala práctica cuando se confía solo en ella. Más bien, es una mejor idea asegurar los sistemas como si un atacante tuviera una visibilidad completa de cómo se configuran las cosas. También es importante tener en cuenta que las bases de datos que se ejecutan en una instancia de GoDaddy no son visibles para el público: son visibles para otros usuarios que pagan y tienen bases de datos que se ejecutan en los servidores de GoDaddy. No es una barra alta para la entrada pero tampoco para el público. Dicho esto, los mecanismos de seguridad que SQL Server pone a disposición deben ser capaces de aislar las instancias de la base de datos y, por lo que sé, nunca ha habido una infracción de seguridad de GoDaddy relacionada con la capacidad de ver otras instancias de la base de datos ejecutándose en la misma instancia de SQL Server.
Hay varias razones por las que no usa GoDaddy para el alojamiento de bases de datos, pero no creo que esta rareza en particular sea una de ellas. Personalmente, los he usado para el alojamiento de DB en el pasado y no lo recomendaría para nada más que para proyectos de hobby.
Lea otras preguntas en las etiquetas penetration-test web-hosting databases