conexión SSL de Amazon RDS MySQL, ¿la contraseña se envía de forma clara?

Navega tus respuestas
2

Estoy probando Amazon RDS MySQL y quiero conectarme a la instancia de MySQL usando SSL. Funciona bastante bien, pero hay algo que no me queda claro: leer las Preguntas frecuentes ( enlace ):

  

El soporte SSL dentro de Amazon RDS es para cifrar   la conexión entre su aplicación y su instancia de base de datos; eso   no se debe confiar en él para autenticar la instancia de base de datos en sí.

parece que una vez que se establece la conexión, los datos se cifran durante la comunicación pero la parte de autenticación no lo está; así que: ¿las contraseñas de MySQL se envían de forma clara?

    
pregunta Eugenio 10.05.2016 - 13:17
fuente

1 respuesta

5

Si observa la MySQL Internals Documentation , puede ver que el protocolo inicializa SSL / TLS después del paquete de intercambio inicial, pero antes del paso de autenticación:

LasdosrutasmostradasdesdeelprimerestadosebasanensiSSL/TLSestáhabilitadoono.Comotal,siSSL/TLSestáhabilitado,laautenticaciónseproducedespuésdecrearelcanalseguroylascredencialesnoseenvíanentextosinformato.

Laclavedelaredaccióndeladocumentaciónquecitóesquediceque"no se debe confiar en la autenticación de la instancia de la base de datos", y no "la autenticación a la instancia de la base de datos". Sospecho que lo que dicen es que, dado que cada instancia de base de datos tiene un certificado generado automáticamente, no debe confiar en esto para verificar que está hablando con la instancia de la base de datos que solicitó.

    
respondido por el Polynomial 10.05.2016 - 13:28
fuente

Lea otras preguntas en las etiquetas

¿Qué podría hacer un sitio web malicioso si no actualiza Adobe Flash? Dumpper y Jumpstart para hackear WPS