До этого момента мой сервер был средой разработки. Таким образом, аутентификация в MongoDb отключена. Пришло время приступить к производству. Я посмотрел, как сделать аутентификацию. Однако с учетом следующих обстоятельств:
Есть ли вообще какой-то смысл включать систему безопасности, кроме как для руководства? Особенно с учетом того, что:
Я полагаю, что необходимость искать пароли БД может сделать жизнь злоумышленника серьезной проблемой. маленький сложнее (им нужно будет выяснить, где находятся приложения, и это может занять 10 минут или около того, а не просто сбросить базу данных mongo). Но действительно ли это единственная настоящая причина?
Я ожидаю этого этот разработчик тоже подумал что включение аутентификации не потребуется. Посмотрите, как хорошо это сработало для них ...
И это лишь один из примеров много тысяч в сети обнаружены незащищенные экземпляры Mongo.
Есть ли вообще какой-то смысл включать систему безопасности, кроме как для руководства?
Я уверен, что ваш менеджер твердо верит в "плохой рекламы не бывает" но попадание в заголовки газет из-за отсутствия у вас основных мер безопасности раскрыло все записи вашей компании и данные клиентов, как правило, "ход, ограничивающий карьеру".
Это вежливый способ сказать, что несоблюдение элементарных мер безопасности считается небрежным и некомпетентным.