problema accesso server mysql dall'esterno

[pablopuello]

salve a tutti, ho questo problema:
devo poter eseguire delle query (semplici select, forse con qualche join) su un db mysql remoto da un applicativo che sto realizzando in python (e che deve girare in locale); il problema è che non ho accesso alla configurazione del server (si tratta del db di un normale hosting) e che il server è configurato per accettare connessioni solo dall'interno della rete del provider (come penso quasi tutti..)

c' è un modo per superare questo problema? pensavo ad uno script in php che facesse da "intermediario", però non ne ho idea se sia fattibile e soprattutto se aprirei buchi di sicurezza colossali...

altrimenti mi tocca passare per un file xml o per qualcosa di simile, ma volevo evitare sinceramente...

grazie a tutti x l'attenzione

[Ugly Mau]

Se hai un ip fisso potresti chiedere al tuo hosting di aprirti la porta 3306 a solo quel ip. Non è detto che lo facciano ma è una possibilità in più....

[pablopuello]

no, questa soluzione non va bene....

al di là del fatto che non ho a che fare con IP fissi (l'applicativo dovregge girare su macchine diverse, e con connessioni anche "casalinghe"), anche se si trovasse il modo di ottenere un ip fisso (vpn varie, ecc..)

...

purtroppo questa possibilità non esiste... non è il tipo di hosting che fa certe cose..... diciamo che è molto low-cost... ho già provato a chiedere anche altre cosette in passato (anche più semplici e meno "probematiche" dal punto di vista della sicurezza) e sono irremovibili a questo riguardo... (cito testualmente la loro risp: noi offriamo servizi a basso costo ma i servizi sono così come sono - pensate che non si può neppure aumentare lo spazio... - ecco ora forse avrete capito anche su che hosting è quel maledetto db..)

e cmq non è una cosa che mi piacerebbe... insomma sarei sempre legato al servizio di hosting... oggi o domani (probabilmente più oggi che domani, viste le necessità sempre maggiori) che questo cambiasse sarei di nuovo punto e a capo.. vorrei essere meno vincolato insomma.... (al di là, ripeto, che in ogni caso al momento non è una strada percorribile...)

[pablopuello]

ragazzi nessuna idea??

dal mio hosting dicono che è possibile accedervi con un programma che permetta il "tunneling" come EMS , quindi effettivamente la mia idea potrebbe funzionare... MA COME PASSO LA QUERY DA ESEGUIRE? CON $_GET?!!??!??!?!?!??!!??!!??!?!?!?!?!?!?!

i miei dubbi sono sulla sicurezza....

[andreamk]

Potresti creare un web service.
Uno script php che lavora sul db locale invocato dai client.

Per essere certo che le richieste vengano effettuate dai tuoi client potresti
creare una frase/parola segreta salvata sia nel client sia nel server.

Quindo invii una richiesta aggiungi come dato un hash dell'ip del client piu la parola segreta che verra' poi verificata dal server.

Cosi risolvi il problema della certificazione del client(piu o meno) ma non quello dello sniffing se hai dati sensibili.



Andrea

[pablopuello]

no, nn sono dati sensibili (altrimenti nn avrei mai fatto una cosa del genere, se non dietro ssl..) sono semplici testi che devono essere selezionati tra quelli disponibili e stampati

l'idea cmq era più o meno quella.... solo che se mando la query "in chiaro", che rishi corro? (i dati di accesso al db sono cmq sul server, quindi non li trasmetto, però in questo modo qualcuno potrebbe capire la struttura del db, o no?)

[andreamk]

Infatti devi fare un web service non mandare la query in chiaro.

Per 2 motivi ...
Il primo l'hai detto tu
Il secondo e' che devi slegare la logica del server da quella del client se un domani devi cambiare database ? dovresti riscivere tutto diversametne se fai processi server e processi client che comunicano tra loro attraverso un protocollo da te definito anche se cambia la struttura del server il client non cambia.

Andrea

[pablopuello]

ok, credo di aver capito come devo fare..

grazie mille per il chiarimento!

[pablopuello]

salve, avrei bisogno di un chiarimento..

ho impostato le cose e più o meno sembra funzionare tutto a dovere..

quello che mi chiedo ora però è: in che modo passare anche l'ip come metodo di controllo può migliorare la sicurezza? se avessi un ip statico ok, ma nel caso che sia dinamico? servirebbe soltanto a "complicare" la stringa di controllo in vista di un eventuale tentativo di decodifica, giusto? non avrebbe altre utilità....
o forse potrebbe essere messo in un log per accorgersi di eventuali intrusi..?

[andreamk]

Premetto che non sono un esperto di sicurezza e l'idea da me proposta mi e' venuta in mente perche' sto affrontando lo stesso probema.

Ho dei web service e voglio essere sicuro che vengano chiamati da client certificati.
Quindi prendila con le pinze e anzi se qualcuno che ha gia affrontato la cosa e ha qualche suggerimento ben venga.

la questione e' che tu invochi una pagina facendo una richiesta.
Se tu fai un hash della richiesta + parola segreta e qualcuno te la sniffa puo ripetere la richiesta quante volte vuole.

La mia proposta era quella di fare un hash di
time()+ip+parola segreta.
e inviare time e hash.

L'applicazione server fara' una hash di
time ricevuto+$_SERVER['REMOTE_ADDR']+parola segreta
da confrontare con l'hash inviato inoltre ritenere accettabile il time ricevuto solo entro certi limiti di tempo.

Cosi sei sicuro che quell'ip e' certificato in quel momento e puoi eseguire lo script.
In teoria non dovrebbe essere possibile fregare il web service non conoscendo la parola segreta.

Puo andare ?

Andrea