各位亲爱的云友!
我们很荣幸邀请到阿里云RDS产品经理团为我们解答RDS的各种疑惑。无论您是正在使用RDS,或是曾经使用过RDS,或是还未开始使用RDS,只要您对RDS有任何不清楚或想进一步了解的问题,都请回帖留下您的问题。产品经理会统一解答您的问题。
访谈结束后,我们会在所有提问的朋友中,抽取10个幸运者(以提问质量作为标准),每人赠送1本《凌云》杂志第四期 ,赶快留下您的问题吧!
提问时间:即日起——11月13日14:00
答题时间:11月13日14:00-17:00
提问范围:
使用HTTPS
不提别的,先上HTTPS
看这个网址,一个管理数据库的后台,居然没有HTTPS,账号密码明文发送,有中间人攻击的话数据库就玩完了。
其它,先做到和phpMyAdmin一样好用吧,在这之前没有必要征询用户的建议,建议就在phpMyAdmin中。就现在iDB这样一个非常早期的阶段,设计上有各种神奇之处,比如:
添加字段是一个仅在开发阶段采用的功能,放在右键菜单第一个真的走心吗?
刷新,谁会一个个表的刷新?数据库名旁边就放着刷新按钮,或者直接浏览器刷新。
请问你是建表多还是查表多?
一不小心误修改,甚至删除了数据表的结构那就是一场灾难。
那请问云监控是干嘛的
运维监控应该是通过短信等方式主动通知的而不是被动地守着那个监控界面的。
总之,分析一下phpMyAdmin的设计就可以看出,它是把数据库中的数据的展示放在第一位的,难道我进数据库后台不是为了这个吗?
设置账号是否允许登录iDB
RDS是能够限制账号只能在特定Host上登录的,但这个限制在登录iDB时自动绕过了。
在应用代码中实际使用的账号往往不会很复杂,因为往往它会进入版本控制系统,账号密码再复杂也没有意义。
那iDB就成为了一个很大的安全漏洞!输入主机,暴力枚举账号密码,攻入!
同时,使用iDB登录时,没有验证用户是否已经登录这个数据库所属的阿里云管理后台,
那么任何人只要知道了这个数据库的账号密码,就能直接通过iDB登录数据库,哪怕这个数据库不属于他当前登录的阿里云账号。
我认为又是一个严重的安全漏洞。
数据库安全出问题了,再稳定也是白搭。
官方帮助文档地址:阿里云帮助中心
更多参考: 阿里云官网(新用户需注册查看),可领上云红包
http://idb.rds.aliyun.com
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。