Re: Aplikacje bazodanowe - bezpieczeństwo - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.comp.programming › Aplikacje bazodanowe - bezpieczeństwo › Re: Aplikacje bazodanowe - bezpieczeństwo

Path: news-archive.icm.edu.pl!news.rmf.pl!nf1.ipartners.pl!ipartners.pl!news.nask.pl!
news.nask.org.pl!news.uni-stuttgart.de!news.belwue.de!news.osn.de!diablo2.news.
osn.de!195.114.241.41.MISMATCH!feeder.news-service.com!94.75.214.39.MISMATCH!ai
oe.org!.POSTED!not-for-mail
From: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid>
Newsgroups: pl.comp.programming
Subject: Re: Aplikacje bazodanowe - bezpieczeństwo
Date: Tue, 28 Jun 2011 13:56:41 +0000 (UTC)
Organization: Aioe.org NNTP Server
Lines: 57
Message-ID: <iucmip$uuc$1@speranza.aioe.org>
References: <4e09cf5c$0$2438$65785112@news.neostrada.pl>
NNTP-Posting-Host: LXkp9TUlRyLrpHg8HMW90Q.user.speranza.aioe.org
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Complaints-To: a...@a...org
User-Agent: slrn/pre0.9.9-111 (Linux)
X-Notice: Filtered by postfilter v. 0.8.2
Xref: news-archive.icm.edu.pl pl.comp.programming:191204
[ ukryj nagłówki ]
On 2011-06-28, Lukasz <k...@a...pl> wrote:
> ostatnio zastanawiam się nad poprawną architekturą aplikacji
> bazodanowej, by była bezpieczna. Nie rozważam tutaj kwestii że będzie to
> aplikacja na urządzenia mobilne, lub takie które mają bardzo ograniczone
> zasoby. Język C++, może z wykorzystaniem Qt, relacyjna baza danych.
> Program byłby pewną ewidencją na której wykonywałoby się odpowiednie
> operacje(dodaj, usuń rekord, wystaw dokument itp. - bez większej
> filozofii). Widzę dwa rozwiązania:
>
> 1) aplikacja w postaci grubego klienta - łączy się z bazą danych,
> wykonuje operacje, posiada wszelkie funkcjonalności.
>
> ZALETY:
> - mniej roboty, jeden program
>
> WADY:
> - słaby stopień bezpieczeństwa bo np. mamy 100 użytkowników i każdy
> program zna parametry dostępowe do bazy danych i można stosunkowo łatwo
> je podpatrzeć.

- Źle się synchronizuje dostęp przez wielu klientów.
- Na dłuższą metę duże problemy z aktualizacją (nie da się wyłączyć
klientów w starej wersji).

> 2) aplikacja typu cienki klient - na serwerze przy bazie danych byłby
> napisany serwer a klient jedynie wysyłałby żądania.
>
> ZALETY:
> - centralizacja dostępu,
> - możliwość autoryzacji i autentykacji na maszynie gdzie dostęp ma tylko
> admin,

Co to jest autentykacja? Chodzi ci o uwierzytelnianie?

> WADY:
> - konieczność stworzenie dwóch aplikacji: klient i serwer,
> - program klienta działa jedynie gdy jest on-line(ewentualnie byłbym
> ciekaw jak tutaj można coś zaradzić).

Uważasz że dostęp do centralnej bazy danych nie wymaga dostępu
sieciowego? Może za pomocą TTP, Telepathic Transmission Protocol?

> Przy okazji zapytam: jest sens np. trzymania zapytań tylko w aplikacji
> serwera? Chodzi mi o to że klient nic nie wie o zapytaniach a jedynie
> wysyła np. numer kontekstu z którego żądane są dane? Wtedy serwer
> wyszukuje u siebie kontekst i wie jakie ma być zapytanie - wykonuje je i
> wyniki odsyła do klienta. Dobry jest to zamysł czy przekombinowany?
> Jakie są alternatywy?

Alternatywą jest odbieranie zapytań SQL (albo ich dużych fragmentów) od
klienta, co jest niedorzeczne, albo stworzenie własnego języka zapytań,
co z kolei chyba przekracza twoje możliwości, skoro pytasz o komentarze
do architektury.

--
Secunia non olet.
Stanislaw Klekot