回答編集履歴

修正

2017/11/15 00:28

投稿

masaya_ohashi

スコア9206

test CHANGED Viewed

@@ -6,7 +6,7 @@
-例えばユーザのデータを取ってくるWebAPIと、ユーザのデータを取ってくるDBへの直接通信があったとします。WebAPI経由ではログインしているユーザを識別して、そのユーザの取れる情報**のみ**を制限して返すことができます。しかし、DBへ直通の場合、制限をかけることが出来ません。そして、アプリから直接取得できる環境であるということは、**アプリを介さず、DBへ直接侵入可能な経路を用意する**ということにもなります。悪意あるものが、あなたのDBの情報を全部抜き取ることが可能な状態になります。一般的にWebサーバからDBへの通信はIP制限をかけたりSSHの暗号鍵等でロックをかけることで、外部の人間がDBを直接覗くことはできなくしているはずです。ですが、アプリから接続できるようにするということは、アプリの中から鍵情報を抜き出されると簡単にDBへのアクセスができるようになります。攻撃者からすればフルオープンな状態のDBなんてカモ同然です。
+例えばユーザのデータを取ってくるWebAPIと、ユーザのデータを取ってくるDBへの直接通信があったとします。WebAPI経由ではログインしているユーザを識別して、そのユーザの取れる情報**のみ**を制限して返すことができます。しかし、DBへ直通の場合、制限をかけることが出来ません。そして、アプリから直接取得できる環境であるということは、**アプリさえ介さず、DBへ直接侵入可能な経路を用意する**ということにもなります。悪意あるものが、あなたのDBの情報を全部抜き取ることが可能な状態になります。一般的にWebサーバからDBへの通信はIP制限をかけたりSSHの暗号鍵等でロックをかけることで、外部の人間がDBを直接覗くことはできなくしているはずです。ですが、アプリから接続できるようにするということは、アプリの中から鍵情報を抜き出されると簡単にDBへのアクセスができるようになります。攻撃者からすればフルオープンな状態のDBなんてカモ同然です。