-
Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!.PO
STED!not-for-mail
From: Michal Kleczek <k...@g...com>
Newsgroups: pl.comp.programming
Subject: Re: Aplikacje bazodanowe - bezpieczeństwo
Date: Tue, 28 Jun 2011 17:00:07 +0200
Organization: http://onet.pl
Lines: 82
Message-ID: <iucq9m$ake$1@news.onet.pl>
References: <4e09cf5c$0$2438$65785112@news.neostrada.pl> <iuck48$ijr$1@news.onet.pl>
<iucmsh$ue8$4@solani.org> <iucnvv$1hp$1@news.onet.pl>
<iucp8s$83e$1@solani.org>
NNTP-Posting-Host: 77-255-242-115.adsl.inetia.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8Bit
X-Trace: news.onet.pl 1309273207 10894 77.255.242.115 (28 Jun 2011 15:00:07 GMT)
X-Complaints-To: n...@o...pl
NNTP-Posting-Date: Tue, 28 Jun 2011 15:00:07 +0000 (UTC)
User-Agent: KNode/4.4.10
Xref: news-archive.icm.edu.pl pl.comp.programming:191210
[ ukryj nagłówki ]Stachu 'Dozzie' K. wrote:
> On 2011-06-28, Michal Kleczek <k...@g...com> wrote:
> [...]
>>>> Od dawna juz wiekszosc DBMS obsluguje autentykacje i autoryzacje oraz
>>>> oferuje narzedzia do zarzadzania kontami uzytkownikow oraz
>>>> uprawnieniami. Niektore posiadaja nawet mozliwosc integracji z
>>>> zewnetrznymi systemami typu LDAP/Kerberos oferujac single sign-on.
>>>> Czemu z nich nie skorzystac?
>>>
>>> Bo nie służą do kontroli dostępu na poziomie aplikacji używającej
>>> danych.
>>
>> Dlaczego?
>
> Bo granulacja kontroli dostępu w DBMS często nie przystaje do granulacji
> potrzebnej do implementacji kontroli dostępu.
I to jest czesto dobry argument.
Z drugiej strony mozna sie zastanawiac, czy moze inny (oferujacy odpowiednie
narzedzia/granulacje) DBMS jest lepszym rozwiazaniem?
Oraz czy przypadkiem _rzeczywiscie_ nie przystaje.
> Jak chcesz zorganizować
> prawo do odczytu danych (np. faktur czy zamówień) związanych z jednym
> tylko klientem dla opiekuna tego klienta?
>
Chocby widoki?
>> Wielokrotnie uzywalem narzedzi w rodzaju np. SQL Navigator lub Crystal
>> Reports do dostepu do danych w srodowiskach gdzie nie do wszystkich
>> danych w bazie danych moglem miec dostep. Mialem swoje konto w DBMS z
>> przypisanymi uprawnieniami i tyle.
>
> Nie rozumiem. Miałeś nie mieć dostępu w aplikacji FooBarBaz do pewnych
> danych, ale uzyskiwałeś go bo łączyłeś się z bazą ręcznie zamiast używać
> FooBarBaz?
>
Mialem nie miec dostepu do pewnych danych _niezaleznie_ od tego jakiej
aplikacji uzywam do dostepu.
Podobnie jak mam nie miec dostepu do danych w katalogu /home/iksinski
niezaleznie od aplikacji jakiej uzywam.
>> Powiedzialbym wrecz, ze system w ktorym rezygnuje sie z wbudowanych w
>> DBMS mechanizmow zabezpieczen na rzecz tych wbudowanych w aplikacje jest
>> z punktu widzenia bezpieczenstwa gorszy.
>
> Chyba że jest lepszy, bo uprawnienia lepiej odzwierciedlają do czego
> ktoś ma dostać prawa.
>
W wiekszosci zastosowan komputerow przedmiotem ochrony sa _dane_ (pomijam
przypadki, gdzie chroni sie dostep np. do zewnetrznych urzadzen).
Z punktu widzenia bezpieczenstwa danych zezwolenie na to, zeby kazda
aplikacja definiowala _swoj wlasny_ model ochrony danych jest ryzykowny.
>>> Służą do tego, żeby w sieci, gdzie serwerów bazodanowych jest
>>> dużo, administratorzy i analitycy mogli połączyć się z bazami pod swoją
>>> opieką, ale już nie z cudzymi.
>>>
>>
>> Uwaga o single sign-on byla troche "na boku" - aczkolwiek wcale nie
>> uwazam, zeby single sign-on byl uzyteczny tylko dla administratorow.
>
> A ja się odniosłem do centralizacji zarządzania uwierzytelnianiem.
>
> Uprawnienia w bazie danych nie służą do kontroli dostępu w aplikacji, bo
> nie mają odpowiedniej granulacji i zarządzanie nimi jest trudne dla
> osoby nietechnicznej.
>
Tego nie rozumiem - albo:
1) mamy administratora DBMS, ktory jest osoba techniczna
2) tworzymy narzedzia, ktore ulatwiaja osobom nietechnicznym zarzadzanie
uprawnieniami.
W obydwu przypadkach nie widac powodu, zeby rezygnowac z tego, co oferuje
DBMS.
--
Michal
Następne wpisy z tego wątku
- 28.06.11 15:43 Lukasz
- 28.06.11 16:21 Michal Kleczek
- 28.06.11 20:25 Zbigniew Malec
- 28.06.11 20:55 Andrzej Jarzabek
- 28.06.11 21:16 Marek Borowski
- 28.06.11 21:17 Lukasz
- 28.06.11 22:10 Przemek O.
- 28.06.11 23:11 Lukasz
- 29.06.11 06:09 Mariusz Kruk
- 29.06.11 06:19 Jacek
- 29.06.11 06:35 Mariusz Kruk
- 29.06.11 07:11 Andrzej Jarzabek
- 29.06.11 07:48 Przemek O.
- 29.06.11 07:49 Michal Kleczek
- 29.06.11 08:01 Stachu 'Dozzie' K.
Najnowsze wątki z tej grupy
- Arch. Prog. Nieuprzywilejowanych w pełnej wer. na nowej s. WWW energokod.pl
- 7. Raport Totaliztyczny: Sprawa Qt Group wer. 424
- TCL - problem z escape ostatniego \ w nawiasach {}
- Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- testy-wyd-sort - Podsumowanie
- Tworzenie Programów Nieuprzywilejowanych Opartych Na Wtyczkach
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
Najnowsze wątki
- 2024-12-23 Riga => Specjalista ds. public relations <=
- 2024-12-23 Łódź => Specjalista ds. Sprzedaży <=
- 2024-12-23 Kraków => International Freight Forwarder <=
- 2024-12-23 Co nalezy do Cinkciarza, a co do Conotoxia ?
- 2024-12-23 Poznań => Key Account Manager <=
- 2024-12-23 Warszawa => Presales / Inżynier Wsparcia Technicznego IT <=
- 2024-12-23 Rzeszów => Spedytor Międzynarodowy <=
- 2024-12-23 Warszawa => Infrastructure Automation Engineer <=
- 2024-12-23 Białystok => Analityk w dziale Trade Development (doświadczenie z Po
- 2024-12-23 Warszawa => Site Reliability Engineer (SRE) <=
- 2024-12-23 Warszawa => DevOps Engineer <=
- 2024-12-23 Warszawa => Senior Account Manager <=
- 2024-12-23 Katowice => Regionalny Kierownik Sprzedaży (OZE) <=
- 2024-12-23 Katowice => Administrator IT - Wirtualizacja i Konteneryzacja <=
- 2024-12-23 Mińsk Mazowiecki => Spedytor Międzynarodowy <=