sha*_*oth 5 security sql-server identity cryptography
当我使用浏览器连接到某个电子商务网站时,我使用的 HTTPS 使用的证书(或多或少)保证example.com确实是example.com.
现在我连接到 Internet 上某处的 SQL Server - 例如它可能是 SQL Azure,然后我只连接到像abcdef.database.windows.net. 有可能那里有一个假服务器,然后我暴露了我的敏感数据。我没有发现任何证据表明在连接到 SQL Server 时使用了证书或任何等效物。
如何确保 SQL Server 主机标识?
我对 Azure 不熟悉,但一般来说我可以与 SQL Server 交谈。SQL 有一个名为 Force Encryption 的属性(通过 SQL 的配置管理器设置),听起来会强制客户端通过加密会话进行连接。这是通过证书完成的,就像 SSL 一样。这保证了服务器的真实性并提供加密通信。
这有点微妙 - 您可以使用由客户端信任的 CA 颁发的证书,或者 SQL 可以使用自签名证书(安全性较低)。您还可以在连接字符串中设置影响连接的客户端设置 - 根据 ODBC 或 OLEDB,相关属性类似于“加密”和“TrustServerCertificate”。
| 归档时间: |
|
| 查看次数: |
114 次 |
| 最近记录: |