问题like this,看起来防止中间人攻击的唯一方法就是使用sslmode=verify-full。这也在Postgresql docs中解释。
当我在我的应用程序中使用Heroku提供的DATABASE_URL时,是否可以保证不会成为MITM攻击? (或者问另一种方式,Heroku是否在幕后做了一些事情来保证Heroku <-> Heroku-Postgres是安全的?)
答案 0 :(得分:4)
不,Heroku Postgres对MitM不安全。最高风险是从命令行运行pg:psql,因为使用WiFi Pineapple或类似工具可以很容易地在笔记本电脑和Heroku之间进行操作。在Dynos和数据库之间进行操作要困难得多。这是可能的,因为Heroku没有创建CA来签署他们的数据库证书,因此在连接时没有信任root用。
我写了一篇实际上针对Heroku Postgres here执行此类MitM的文章,请向Heroku提交支持请求,说明您希望他们创建CA并发出我们可以用来验证的受信任根目录如果你关心这一点,那就是联系。