Heroku PostgresをMITM攻撃から保護していますか？

Question

質問like thisでは、man-in-the-middle攻撃を防ぐ唯一の方法はsslmode=verify-fullを使用するように見えます。これはPostgresql docsでも説明されています。

アプリでHerokuが提供するDATABASE_URLを使用すると、MITM攻撃が行われないという保証はありますか？ （または、HerokuのはHeroku <-> Heroku-Postgresが安全であることを保証するために舞台裏で何かをしない、別の方法を尋ねた？）

Answer 1

いいえ、HerokuのPostgresはのMitMに対して安全ではありません。 Wi-Fi Pineappleまたは類似のツールを使用してラップトップとHerokuをやりとりするのはかなり簡単ですので、コマンドラインから実行するリスクは最も高いです（pg:psql）。あなたのDynosとデータベースの間のやりとりははるかに難しくなります。これは、Herokuがデータベース証明書に署名するためのCAを作成していないため、接続時に使用する信頼ルートが存在しないために可能です。

私は実際にHeroku Postgres hereに対してこのようなMitMを実行するための書きかけをしました。彼らがCAを作成し、接続を認証するために使用できる信頼できるルートこれについて気をつけてください。