Шифруется ли аутентификация mysqli в php?

Question

[Qweqwe1234]

Шифруется ли передача аутентификационных данных при установлении соединения с удаленной БД в php при использовании mysqli?

$mysqli = new mysqli("example.com", "user", "password", "database");

upd. При установлении соединения с удаленной БД передача user/password для доступа к удаленной БД передаются в открытом виде или шифруются и можно не переживать что их кто-то перехватит?

Answer 1

[Макс]

Workbench передает хэш вместо пароля - не вижу причин для того, чтобы mysqli делал по другому.

Comments

[Qweqwe1234]

Причин не вижу, но и в документации ничего по этому вопросу не нашел, а хотелось бы быть уверенным.

[Макс]

Qweqwe1234: tcpdump/wireshark - будете уверенным. Я именно так и проверил

[Qweqwe1234]

Макс: Благодарю, почему-то сам об этом и не подумал, но все равно даже в случаи шифрованной передачи нет уверенности в ее надежности, и к сожалению на данный момент ничего не нашел по данному вопросу.

[Макс]

Qweqwe1234: хотите уверенности - поднимайте SSL или туннелируйте в SSH (в принципе - однофигственно). по моему опыту на современных процах шифрование не сильно то и грузит (конечно, если Вы не пытаетесь загрузить гигабитный канал).

[Qweqwe1234]

Макс: думал над этим, но если нет необходимости, то и смысла реализовывать нет.

Посмотрел трафик, пароль передается в виде хеша, при каждом соединении хеши разные, но это не внушает доверия, что злоумышленник не сможет использовать один из хешей в своих целях. поэтому изначальный вопрос остается открытым: насколько безопасно подключаться к удаленной БД без использования SSL

[Макс]

Qweqwe1234: вообще-то относительно стандартный механизм следующий - сервер отдает некоторую последовательность, клиент хэширует сумму этой последовательности и пароля, сервер делает на своей стороне то-же самое - и сверяет. Совпало - молодец, заходи. Т.е. хищение хэша ничего не дает - он каждый раз уникальный. Ну разве что этот запрос от сервера повторится, что крайне маловероятно.

[Qweqwe1234]

Макс: Благодарю, а не могли бы Вы дать ссылку, где данный механизм описан касаемо mysql, в случаи если повторно отправить тот же хеш, аутентификация не пройдет - меня устраивает, в случаи конечно если данный хеш не представляется реально возможным расшифровать так скажем в ближайшие лет 5-10.

[Qweqwe1234]

Кажется Вы прав https://dev.mysql.com/doc/internals/en/connection-...

Answer 2

[Андрей Мохов]

для шифрования используйте mysqli::real_connect

Comments

[Qweqwe1234]

что-то в духе

$mysqli = mysqli_init();
$mysqli->real_connect("example.com", "user", "password", "database",...,MYSQLI_CLIENT_SSL);

Разве данный вариант не начнет шифровать все запросы? Я так понимаю это печально скажется на производительности при высоких нагрузках. Возможно немного не понятно задал вопрос: При установлении соединения с удаленной БД передача user/password для доступа к удаленной БД передаются в открытом виде или шифруются и можно не переживать что их кто-то перехватит?

[Андрей Мохов]

Qweqwe1234: доподлинно не знаю, но уверен, что обычное соединение происходит без шифрования при аутентификации и последующей передачи данных...
наверянка шифрованное соединение с real_connect будет в том числе шифровать весь поток данных

[Qweqwe1234]

Андрей Мохов: Благодарю, Вы правы, в обычном случаи при установлении соединения передается логин и хеш пароля, теперь возникает вопрос о безопасности передачи данного хеша в открытом виде. В худшем случаи придется как вы и сказали использовать real_connect с ssl.