Sql-Server
連接到 Sql-Server 時,密碼是否以明文形式發送?
我今天被問到這個問題,老實說,我不知道答案。如果您使用沒有 sspi的連接字元串連接到伺服器,是否有任何方法可以讓第 3 方通過網路攔截用於登錄的密碼?
"Data Source=MyServer;Initial Catalog=MyDatabase;User Id=sa;Password=CanThisBeSniffed;"
我不是在詢問 MiTM 攻擊,只是在同一台電腦上或在網路上的同一集線器上列出了帶有 wireshark 或類似東西的人。
我自己啟動了wireshark,並沒有以純文字形式看到它,但它可能是一個簡單的混淆或適當的加密,我只是想知道哪個。
SQL Server 2000 及更高版本(可能是 2005 及更高版本,我忘記了;它在我的新書中某處)SQL 身份驗證登錄(與 Windows 身份驗證相反)使用的身份驗證過程由自簽名 SSL 證書加密,該證書由安裝數據庫引擎時的 SQL Server 實例。
尼克提出了一個很好的觀點,因為那篇博文並不是你想要的。對於那個很抱歉。
MSDN 庫有關於配置 SSL 連接的細節http://msdn.microsoft.com/en-us/library/ms189067.aspx
但是,以下內容有點模棱兩可
Credentials (in the login packet) that are transmitted when a client application connects to SQL Server are always encrypted.
不完全清楚(無論如何對我來說)這是否意味著無論 SSL 設置如何,它們總是被加密。
如果你擔心它,我會啟用 SSL。