Heroku Laravel のセキュリティリスクについて(AppDB間のSSL化)with MySQL
「 おいおいおいおい。」
判明したときはそんな感想でした、たぶん自分に向けてですが。
AppとDB間の通信がデフォルトだと平文じゃん!
状況確認(mysql)
例えばLaravelのコントローラーなりで以下のようなDBのSSL通信状態を出力してみてください。 herokuのAWS
#SSL 通信確認 $rows = DB::select("show status like'Ssl_cipher'"); foreach ($rows as $row) { echo $row->Variable_name.":".$row->Value."<br>\n"; } exit;
通常は下記のSQLを実行すると、SSL化されている場合なんらかの暗号化方式の名称文字列が入ります。何も値が入らない場合は、平文で通信されています。
show status like'Ssl_cipher'
対応方法
忙しいので果たしてブログにまとめる価値はあるのか見定めることにしました。
GoogleAnalytics いれているのでアクセスが一定数を超えた場合、記事を具体化していこうと思います。
急ぎの場合はコメントをお願いいたします。