Prima, danke schon mal!

topeg+2008-10-21 00:18:20--

Eindeutig ist ja nicht die IP sondern "Name + IP + Passwort". Und ich halte es für reichlich unwahrscheinlich, das sich zwei verschiedenen Benutzer über den selben Namen von der selben IP aus mit dem selben Passwort anmelden.

dafür können user von bestimmten providern bei jedem zugriff eine andere IP haben. wenn dir die
egal sind, kannst du es natürlich so machen.

Und in einem Netzwerk gibt es manchmal auch nur eine IP für Alle nach Außen, nämlich die des Routers.

topeg+2008-10-21 00:18:20--

Datenbankzugriffe übers Netz würden mir Bauchschmerzen machen, da so was ein beliebtes Ziel für Angriffe ist.

Remotezugriff auf eine Datenbank heißt für mich Beschränkung auf IP-Adressen der zugriffsberechtigten Rechner + TLS-Verschlüsselung + MD5-gehashte Passwörter, LDAP o.ä. Zugriffsrechte auf Datenbankebene natürlich auch möglichst restriktiv. Dann noch die Firewall so tunen, dass andere Rechner den Port gar nicht sehen. Wer paranoid ist, kann auch den Datenbankport wechseln.

Quote

Man könnte die Datenbank hinter einem Script verstecken, aber für dieses braucht man dann wieder eine Benutzerkennung und Zertifizierung.

Ja, keine gute Idee. Selbst geschriebene Sicherheitslösungen sind selten besser als vorhandene und gut getestete. Wie ein 300-EUR-Sicherheitsschloss an der Tür und dann den Schlüssel in einem hohlen Stein versteckt. ;-)

Quote

Man könnte über ssh tunneln, aber das wird von einigen Hostern nicht gerne gesehen. Auch die Bandbreite könnte unter Umständen ein Problem darstellen.

Ssh ist auch eine Idee. Mit Problemen bei Hostern habe ich da aber keine Erfahrung. Warum wird das nicht gerne gesehen? Verdacht auf Filesharing? Und was meinst du bzgl. Bandbreite? Die wird durch ssh ja nicht größer.

Dubu+2008-10-21 21:01:03--

Remotezugriff auf eine Datenbank heißt für mich Beschränkung auf IP-Adressen der zugriffsberechtigten Rechner + TLS-Verschlüsselung + MD5-gehashte Passwörter, LDAP o.ä. Zugriffsrechte auf Datenbankebene natürlich auch möglichst restriktiv. Dann noch die Firewall so tunen, dass andere Rechner den Port gar nicht sehen. Wer paranoid ist, kann auch den Datenbankport wechseln.

Sicher kann man es sicher machen, aber der Aufwand steht, meiner Meinung nach, nicht zum Nutzen. Es geht hier um eine Nutzerdatenbank. Das ist nichts wo eine sekundengenaue Synchronisation von Nöten wäre, oder andere Computer einen Mangel an Kapazität oder Rechenleistung hätten. Die frage ist lohnt sich der Wartungsaufwand? Ist es nicht einfacher regelmäßig einen neuen Schlüssel zu verteilen, als eine Datenbank samt Umgebender Software zu warten, aktuell zu halten, auf korrekte Konfiguration zu achten usw.

Dubu+2008-10-21 21:01:03--

Quote

Man könnte über ssh tunneln, aber das wird von einigen Hostern nicht gerne gesehen. Auch die Bandbreite könnte unter Umständen ein Problem darstellen.

Ssh ist auch eine Idee. Mit Problemen bei Hostern habe ich da aber keine Erfahrung. Warum wird das nicht gerne gesehen? Verdacht auf Filesharing?

Ich hatte zumindest mal eine wenig freundliche Mail bekommen, doch gefälligst meine ssh-Verbindung alle sechs Stunden zu trennen und eine Stunde zu waren, sonst würde man es für mich machen.
Die Begründung war, dass ein stehender Tunnel die "Aufmerksamkeit" dubiosen Volkes auf den Server ziehen würde. Wer es glaubt. Ich vermute eher sie hatten Sorge ich würde irgendwas illegales machen. Und so eine stehende Verbindung verbraucht doch einiges an Traffic. Im einzeln ist es zwar wenig, aber das läppert sich. Ein Hoster verdient, so hat man mir gesagt, nicht schlecht daran, das die gemietete Bandbreite nicht genutzt wird.

Dubu+2008-10-21 21:01:03--

Und was meinst du bzgl. Bandbreite? Die wird durch ssh ja nicht größer.

Die Bandbreite bezieht sich darauf, das mehrere Dienste auf eine DB zugreifen. Das könnte (im Extremfall) zu Problemen mit der Anbindung führen. Entweder wird es Teuer, oder die Verbindung wird gekappt.

Ich bin ein Freund verteilter Systeme, welche die Last schon vom Design her verteilen können.

Kleine Anmerkung: da ich keinen eigenen Server habe, sonder 'nur' Webspace bzw. die die Anwendung auch für solche Fälle passend sein sollte, fallen für mich (leider) alle Tunnel und ähnliche Zugriffe aus.

Daher reich mir die Link-Lösung. Trotzdem aber sehr interessant, was es noch für Lösung mit diversen Problemen gibt.