pillowsky_个人页

回楼主佩恩六道的帖子 @佩恩六道 我有两个建议 使用HTTPS设置账号是否允许登录iDB 出处在这里，我就不重复粘贴了，烦请移步细看 http://bbs.aliyun.com/read/181520.html?spm=5176.7189909.0.0.b6ZPvN&page=8 ------------------------- 回37楼佩恩六道的帖子 还有就是原文链接里提到的，iDB在设计上还有一些问题，还没有phpMyAdmin合理

使用HTTPS 不提别的，先上HTTPS http://idb.rds.aliyun.com 看这个网址，一个管理数据库的后台，居然没有HTTPS，账号密码明文发送，有中间人攻击的话数据库就玩完了。 其它，先做到和phpMyAdmin一样好用吧，在这之前没有必要征询用户的建议，建议就在phpMyAdmin中。就现在iDB这样一个非常早期的阶段，设计上有各种神奇之处，比如： 1. 点击一个表名，居然弹出了添加字段和刷新 添加字段是一个仅在开发阶段采用的功能，放在右键菜单第一个真的走心吗？刷新，谁会一个个表的刷新？数据库名旁边就放着刷新按钮，或者直接浏览器刷新。2. 类似的，点击一个字段名，数据库名，导航条……，所反馈的内容大多是为建表等修改数据的操作优化的 请问你是建表多还是查表多？一不小心误修改，甚至删除了数据表的结构那就是一场灾难。3. 首页是一个监控画面界面 那请问云监控是干嘛的运维监控应该是通过短信等方式主动通知的而不是被动地守着那个监控界面的。 总之，分析一下phpMyAdmin的设计就可以看出，它是把数据库中的数据的展示放在第一位的，难道我进数据库后台不是为了这个吗？ ------------------------- 设置账号是否允许登录iDB RDS是能够限制账号只能在特定Host上登录的，但这个限制在登录iDB时自动绕过了。 在应用代码中实际使用的账号往往不会很复杂，因为往往它会进入版本控制系统，账号密码再复杂也没有意义。 那iDB就成为了一个很大的安全漏洞！输入主机，暴力枚举账号密码，攻入！ 同时，使用iDB登录时，没有验证用户是否已经登录这个数据库所属的阿里云管理后台， 那么任何人只要知道了这个数据库的账号密码，就能直接通过iDB登录数据库，哪怕这个数据库不属于他当前登录的阿里云账号。 我认为又是一个严重的安全漏洞。 数据库安全出问题了，再稳定也是白搭。