回答編集履歴
1
修正
test
CHANGED
@@ -6,7 +6,7 @@
|
|
6
6
|
|
7
7
|
|
8
8
|
|
9
|
-
例えばユーザのデータを取ってくるWebAPIと、ユーザのデータを取ってくるDBへの直接通信があったとします。WebAPI経由ではログインしているユーザを識別して、そのユーザの取れる情報**のみ**を制限して返すことができます。しかし、DBへ直通の場合、制限をかけることが出来ません。そして、アプリから直接取得できる環境であるということは、**アプリ
|
9
|
+
例えばユーザのデータを取ってくるWebAPIと、ユーザのデータを取ってくるDBへの直接通信があったとします。WebAPI経由ではログインしているユーザを識別して、そのユーザの取れる情報**のみ**を制限して返すことができます。しかし、DBへ直通の場合、制限をかけることが出来ません。そして、アプリから直接取得できる環境であるということは、**アプリさえ介さず、DBへ直接侵入可能な経路を用意する**ということにもなります。悪意あるものが、あなたのDBの情報を全部抜き取ることが可能な状態になります。一般的にWebサーバからDBへの通信はIP制限をかけたりSSHの暗号鍵等でロックをかけることで、外部の人間がDBを直接覗くことはできなくしているはずです。ですが、アプリから接続できるようにするということは、アプリの中から鍵情報を抜き出されると簡単にDBへのアクセスができるようになります。攻撃者からすればフルオープンな状態のDBなんてカモ同然です。
|
10
10
|
|
11
11
|
|
12
12
|
|