¿Qué tan importante es una contraseña mysql para localhost?

Navega tus respuestas
7

Podemos suponer que si un atacante obtuviera acceso a un servidor web que ejecute mysql, sería capaz de leer los scripts para determinar la contraseña de mysql.

Si mysql solo responde en localhost, ¿realmente necesita una contraseña segura?

Claro, si hubiera una vulnerabilidad en el servidor que permitiera a un atacante cargar y ejecutar archivos PHP, podrían causar estragos en la base de datos si no hubiera una contraseña segura. Sin embargo, aún podrían utilizar ese archivo PHP para acceder a los scripts del servidor "real", enviarlos al cliente y luego leer la contraseña de esa manera.

Realmente no entiendo la necesidad de una contraseña mysql si solo responde a localhost. ¿Por qué es importante?

Cuando digo "sin contraseña" me refiero a dejarlo como el valor predeterminado de "contraseña", que es probablemente la primera estimación para un atacante

    
pregunta Joseph 02.05.2014 - 13:05
fuente

1 respuesta

5

Algunas razones vienen a la mente:

En primer lugar, solo porque una cuenta de alojamiento comprometida pueda leer las credenciales de un usuario de MySQL no significa que pueda leer otro. Imagina que estás en un host compartido y que uno de tus co-inquilinos está comprometido, no querrías que forzaran tu contraseña.

En segundo lugar, puede usar varios usuarios diferentes con diferentes permisos dentro de sus propios sistemas. Por ejemplo, un usuario puede ser de solo lectura que se usa para un sitio de acceso público, mientras que su consola de administración usa un usuario con acceso de escritura. Esto posiblemente evitaría la escalada de privilegios para las cuentas almacenadas dentro de la base de datos si el sistema de acceso público se ve comprometido, asumiendo que no pueden violar su otra contraseña MySQL.

Finalmente, no es tan raro que MySQL sea accesible externamente, por lo que se pueden usar herramientas como el banco de trabajo MySQL para administrarlas y consultarlas. En este caso, obviamente desea una contraseña segura.

    
respondido por el thexacre 02.05.2014 - 13:14
fuente

Lea otras preguntas en las etiquetas

Un solo punto de falla: ¿pueden las solicitudes de contraseña del gobierno de los EE. UU. ser un vector de ataque? ¿Cuál es la diferencia entre reclamaciones, atributos y roles?