¿Qué tan seguro es el protocolo de conexión de MongoDB?

5

Estoy creando una aplicación independiente JavaFX 2.0 (se distribuirá como un archivo .exe) y abre una conexión a una instancia de MongoDB. La conexión es solo una conexión estándar de Mongo que utiliza el protocolo de conexión Mongo.

¿Es el protocolo de conexión Mongo seguro suficiente , o podrían los usuarios examinarlo para ver si los datos se transfieren de un lado a otro?

Las conexiones de la base de datos de Mongo podrán usar SSL en algún momento en el futuro, pero aún no está disponible.

En su lugar, ¿debería usar un servicio web REST para el acceso a datos con SSL? La conexión directa a la base de datos es bastante más rápida por lo que sería genial si pudiera mantener eso, pero no tener grandes problemas de seguridad.

    
pregunta Jon Onstott 22.10.2013 - 18:13
fuente

2 respuestas

5

Sólo para su información. Dar una conexión de base de datos directa en una aplicación del lado del cliente es una mala idea . Cree una interfaz REST que permita la autenticación correcta y la validación de entrada. Esto le permitirá tener un control más estricto sobre lo que pueden acceder sus aplicaciones.

El problema es que actualmente MongoDB no ofrece encapsulación SSL. Esto significa que, en sí mismo, el protocolo de conexión puede escucharse a escondidas (los datos enviados a través del protocolo están expuestos). Entonces, si está ejecutando este protocolo de forma no local (en toda la red), entonces sí es no seguro , pero no porque el protocolo en sí sea inseguro, sino porque la implementación actualmente no se puede garantizar la confidencialidad o la integridad debido a la falta de encapsulación.

Sin embargo, puede solucionar esto encapsulando el protocolo usted mismo . Si el protocolo no ofrece SSL, primero debe hacer un túnel y enviar el protocolo a través de ese túnel. Por ejemplo, crea una VPN encriptada entre su servidor web y MongoDB y, a través de esta VPN, envía la conexión del protocolo por cable (tenga en cuenta que debe usar un protocolo VPN seguro). Preferiblemente, esto se implementa para que tenga un cifrado de punto final.

Esto evitará que los espías detecten su conexión de cable.

    
respondido por el Lucas Kauffman 22.10.2013 - 18:28
fuente
5
  

Las conexiones de la base de datos de Mongo podrán usar SSL en algún momento en el futuro, pero aún no está disponible.

Escribiendo para tener una referencia más reciente para este.

De enlace

  

Nuevo en la versión 3.0: la mayoría de las distribuciones de MongoDB ahora incluyen soporte para SSL.

     

...

     

Algunas distribuciones de MongoDB no contienen soporte para SSL. Para usar SSL, asegúrese de elegir un paquete que admita SSL.

Puede verificar si MongoDB para su sistema operativo / distribución es compatible con SSL desde aquí .

    
respondido por el Ali Ok 21.01.2016 - 23:20
fuente

Lea otras preguntas en las etiquetas