Sco*_*ain 5 security sql-server connection-strings
我今天被问到这个问题,老实说我不知道答案。如果你使用一个连接字符串,而不SSPI连接到一台服务器有什么办法第三方可以拦截在电线上的密码用于登录?
"Data Source=MyServer;Initial Catalog=MyDatabase;User Id=sa;Password=CanThisBeSniffed;"
我不是在询问 MiTM 攻击,只是有人在同一台计算机上或网络上的同一集线器上列出了 Wireshark 或类似的东西。
我自己启动了wireshark,并没有以纯文本形式看到它,但这可能是一个简单的混淆或适当的加密,我只是想知道哪个。
SQL Server 2000 及更高版本(可能是 2005 及更高版本,我忘记了;它在我的新书中的某个地方) SQL 身份验证登录使用的身份验证过程(与 Windows 身份验证相对)由自签名 SSL 证书加密,该证书由安装数据库引擎时的 SQL Server 实例。