Naravno da nije rijec o licnom obracunu, baratamo argumentima i kulturno diskutujemo.
Port od baze (ne znam otkud ti taj 3389) je po defaultu otvoren za spoljne konekcije. Svaki korisnik je identifikovan sa user/pass/ip kombinacijom.
Naravno, ukoliko dozvolis '%' sve konekcije onda se ta identifikacija svodi na user/pass.
Sad da objasnim kako ta tvoja 2 nacina ne bi uspjela.
1. Mislis da bi svaki normalan administrator stavio access na mySQL bazu za account root, root@'%' ??? Zasto? Ima li smisla? Ionako se sve administratorske duznosti obavljaju direkt na serveru ili eventualno sa nekog drugog compa u mrezi. Znaci tvoj 7dnevni brute force attack bi 100% zavrsio bezuspjesno jer i da 'pogodis' root sifru, sa tvog IPa NISU dozvoljene konekcije (mislim na uspjele login konekcije).
2. Da, mogao bi da usnifas, buduci da promet nije kriptovan, ali gdje bi ti postavio sniffera? Cinjenica da bi mogao da usnifas promet izmedju dvije TCP tacke moras biti 'izmedju'. U hostingov NOC nemas pristup, i da ga imas morao bi imati pristup na ruter ili na isti server. Ako ga imas na serveru, chak i da imas obicnog usera, ne mozes snifati mrezni interfejs bez root naloga. Ako ga imas ... a cemu onda potreba za provaljivanje na bazu, kad imas direktan pristup fajlovima. Ako nemas pristup u NOC onda bi morao da imas pristup na access server/router na koji se ja kacim... Opet, kako to mislis da izvedes? Ako si u stanju da uhakujes citav server ili router i dobijes admin privilegije, onda nemas potrebe da gubis vrijeme sa snifanjem mySQL konekcija.
Takodje, postoji sigurno 10-20 usputnih tacaka (razni ruteri, drugi mrezni uredjaji i veze) gdje bi mogao da snifas promet, ali i to je tesko izvodljivo iz 2 razloga. Nikako ne mozes biti siguran da ce moj paket da prodje tom tackom (ukoliko nije jedinstveno cvoriste, a danas je takvih malo, svi imaju duple, troduple linkove), a drugo tu je rijec o mega i mega prometa po sekundi, obicnim sniferom bi dobijao tone smeca a ti bi trebao da izaberes moj paket logovanja :).
Jos jedan detalj, mogu ti dati slobodno IP mog provajdera, otvoriti pristup za '%' (sve IP) a ti ni nakon mjesec dana brute-force napada neces uspjeti provaliti sifru jer su obicno username-ovi slozeni od recimo 'hostingaccount_izabranoime' i nigdje username nije kraci od 10 karaktera, a bude i do 20. To se radi da ne bi doslo do problema da 2 korisnika zele isti username i lakse organizacije. Znaci tesko mozes da brute-force metodom bilo sta provalis. Ako vec skines moj config.php sa sajta (ili neki drugi, gdje se nalazi user i pass), najlakse ti je kupiti domen na istom serveru, fino se ulogovati i bez tcp konekcije na mySQL i uraditi sta hoces. Ali tad ovo o cemu pricamo nema smisla i u tom slucaju nema ni potrebe za eksternom konekcijom da bi se pristupilo bazi.
I opet, iz kog razloga na taj nacin bih ja mogao da ugrozim druge korisnike? Ako neko i dobije putem user/pass/ip kombinaciju uspjelu konekciju na moju bazu, sve njegove privilegije se zavrsavaju na mojoj bazi, dalje od nje ne moze nista. Ugrozavam SAMO sebe.
I ja zadrzavam pravo da nesto ne znam, da sam nesto previdio pa bih zamolio i tebe ili nekog drugog da mi skrene paznju. Nije ovo licno prepucavanje vec razmjena znanja i iskustva.
:: Nemoj se svadjati sa budalom, ljudi cesto nece primjetiti razliku ::