スマフォからDBはWebAPI？でもWebサイトからDBはWebAPIじゃないのでは？

Webサイト → 別サーバーにあるDB

もともとWebサイトからポスグレに接続してる方法がconnectionクラスのcreatestatementで接続していた場合、つまりselect文が代入されて送信されていた場合なのですが、

アプリから
https://forums.xamarin.com/discussion/57871/connecting-to-a-sql-server
のようにidbconnectionクラスでselect文を代入して送信する方法

アプリ → 別サーバーのDB

上記の方法と比べて両方ともhttp通信になっていないという認識で間違えないでしょうか。

だとするならアプリからセキュリティ上WebAPIを使うのが一般的な接続と言われていますが、
Webサイトから毎回DBへ接続している方法と変わらないのであれば、Webサイト側の実装まで必要になるWebAPIは辞めてしまおうか悩んでおります。

もしくはJavaにあるselect文などのクエリ代入されて送信される方法はhttp通信になっていたりするものなのでしょうか。
アドバイスよろしくお願いいたします。

行動規範の内容に同意します

回答1件

Webサイトから毎回DBへ接続している方法と変わらないのであれば、Webサイト側の実装まで必要になるWebAPIは辞めてしまおうか悩んでおります。

変わらなくないです。とても大きな差があります。

例えばユーザのデータを取ってくるWebAPIと、ユーザのデータを取ってくるDBへの直接通信があったとします。WebAPI経由ではログインしているユーザを識別して、そのユーザの取れる情報のみを制限して返すことができます。しかし、DBへ直通の場合、制限をかけることが出来ません。そして、アプリから直接取得できる環境であるということは、アプリさえ介さず、DBへ直接侵入可能な経路を用意するということにもなります。悪意あるものが、あなたのDBの情報を全部抜き取ることが可能な状態になります。一般的にWebサーバからDBへの通信はIP制限をかけたりSSHの暗号鍵等でロックをかけることで、外部の人間がDBを直接覗くことはできなくしているはずです。ですが、アプリから接続できるようにするということは、アプリの中から鍵情報を抜き出されると簡単にDBへのアクセスができるようになります。攻撃者からすればフルオープンな状態のDBなんてカモ同然です。

あと、アプリからDBへ直接通信している場合、TCP接続かSSH接続になります。提示されているSqlConnectionはおそらく内部でTCP接続しており、暗号化もなにもない状態で通信しています。

投稿2017/11/15 00:27

編集2017/11/15 00:28