-
Data: 2011-06-29 08:24:30
Temat: Re: Aplikacje bazodanowe - bezpieczeństwo
Od: Michal Kleczek <k...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Stachu 'Dozzie' K. wrote:
> On 2011-06-28, Michal Kleczek <k...@g...com> wrote:
>>
>> I to jest czesto dobry argument.
>> Z drugiej strony mozna sie zastanawiac, czy moze inny (oferujacy
>> odpowiednie narzedzia/granulacje) DBMS jest lepszym rozwiazaniem?
>
> Z reguły nie dobiera się silnika bazodanowego ze względu na uprawnienia
> jakie oferuje.
Dlaczego?
> Zresztą wszystkie silniki oferują podobne uprawnienia.
>
Nie - taki np. Oracle Advanced Security option oferuje znacznie wiecej niz
dajmy na to Postgresql. A Postgresql oferuje wiecej niz MySQL.
Oczywiscie - za Oracle trzeba zaplacic. Pytanie tylko, czy zrobienie tego w
aplikacji nie bedzie drozsze niz koszt licencji dobrego DBMS.
>>> Jak chcesz zorganizować
>>> prawo do odczytu danych (np. faktur czy zamówień) związanych z jednym
>>> tylko klientem dla opiekuna tego klienta?
>>>
>>
>> Chocby widoki?
>
> I co, osobny widok dla każdego klienta? Super. Tylko wiesz że tym by się
> tragicznie zarządzało?
>
Przez "klienta" rozumiesz aplikacje czy uzytkownika?
Zreszta niezaleznie od tego nie ma potrzeby tworzyc oddzielnych widokow dla
kazdego klienta. Przeczytaj np:
http://technet.microsoft.com/en-us/library/cc966395.
aspx
>>>> Wielokrotnie uzywalem narzedzi w rodzaju np. SQL Navigator lub Crystal
>>>> Reports do dostepu do danych w srodowiskach gdzie nie do wszystkich
>>>> danych w bazie danych moglem miec dostep. Mialem swoje konto w DBMS z
>>>> przypisanymi uprawnieniami i tyle.
>>>
>>> Nie rozumiem. Miałeś nie mieć dostępu w aplikacji FooBarBaz do pewnych
>>> danych, ale uzyskiwałeś go bo łączyłeś się z bazą ręcznie zamiast używać
>>> FooBarBaz?
>>>
>>
>> Mialem nie miec dostepu do pewnych danych _niezaleznie_ od tego jakiej
>> aplikacji uzywam do dostepu.
>> Podobnie jak mam nie miec dostepu do danych w katalogu /home/iksinski
>> niezaleznie od aplikacji jakiej uzywam.
>
> Czyli ktoś zjebał aplikację, że mogłeś się do tych danych dokopać.
> Mianowicie błąd był w tym, że mogłeś się w ogóle połączeć z bazą danych.
>
Wrecz przeciwnie - bylo wszystkim znacznie latwiej, bo uprawnieniami dostepu
do danych zarzadzalo sie w jednym miejscu i nikogo nie obchodzilo w jaki
sposob (przy uzyciu jakiego oprogramowania) do tych danych sie dostawalem.
Mogla to byc nawet "zjebana aplikacja".
>>
>> W wiekszosci zastosowan komputerow przedmiotem ochrony sa _dane_ (pomijam
>> przypadki, gdzie chroni sie dostep np. do zewnetrznych urzadzen).
>> Z punktu widzenia bezpieczenstwa danych zezwolenie na to, zeby kazda
>> aplikacja definiowala _swoj wlasny_ model ochrony danych jest ryzykowny.
>
> Erm. To może zdefiniuj jeden model ochrony dla całego komputera
> i przestań się przejmować co która aplikacja robi? Przecież to
> niedorzeczny postulat.
>
Codziennie lacze sie po ssh z komputerem uzywanym jednoczesnie przez wielu
uzytkownikow i nie mam dostepu do danych do ktorych dostepu miec nie
powinienem. Co wiecej - proby nieautoryzowanego dostepu so monitorowane. Co
wiecej - do niektorych danych dostep jest audytowany nawet jak mam do nich
uprawnienia. I to wszystko niezaleznie od tego jakich aplikacji zechce mi
sie uzywac.
Co w tym niedorzecznego???
>>> Uprawnienia w bazie danych nie służą do kontroli dostępu w aplikacji, bo
>>> nie mają odpowiedniej granulacji i zarządzanie nimi jest trudne dla
>>> osoby nietechnicznej.
>>>
>>
>> Tego nie rozumiem - albo:
>> 1) mamy administratora DBMS, ktory jest osoba techniczna
>
> Chyba że nie mamy, bo to mała firemka z małym systemikiem do
> fakturowania.
>
>> 2) tworzymy narzedzia, ktore ulatwiaja osobom nietechnicznym zarzadzanie
>> uprawnieniami.
>
> Tylko że stworzenie takich narzędzi dla na przykład baz SQL-owych jest
> trudne.
>
Co trudnego w zrobieniu GUI ktore wykonuje np. "GRANT admins TO joe;" lub
"REVOKE admins FROM joe;" lub "CREATE USER davide WITH PASSWORD
'jw8s0F4';"???
>> W obydwu przypadkach nie widac powodu, zeby rezygnowac z tego, co oferuje
>> DBMS.
>
> W obydwu przypadkach nie widać możliwości, żeby używać tego, co oferuje
> DBMS w zakresie autoryzacji, w samej aplikacji.
>
Patrz wyzej - wydaje mi sie, ze widac...
--
Michal
Następne wpisy z tego wątku
- 29.06.11 08:37 Mariusz Kruk
- 29.06.11 08:42 Michal Kleczek
- 29.06.11 08:52 Mariusz Kruk
- 29.06.11 09:13 Michal Kleczek
- 29.06.11 09:14 b...@n...pl
- 29.06.11 09:28 Michal Kleczek
- 29.06.11 09:40 Mariusz Kruk
- 29.06.11 09:33 Michal Kleczek
- 29.06.11 09:22 Mariusz Kruk
- 29.06.11 09:39 Lukasz
- 29.06.11 09:50 Michal Kleczek
- 29.06.11 09:59 Mariusz Kruk
- 29.06.11 10:19 Marek Borowski
- 29.06.11 10:20 Michal Kleczek
- 29.06.11 10:28 Stachu 'Dozzie' K.
Najnowsze wątki z tej grupy
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
- Press Release - AEiC 2023, Ada-Europe Reliable Softw. Technol.
- Ada-Europe - AEiC 2023 early registration deadline approaching
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2023
- Ile cykli zajmuje mnożenie liczb 64-bitowych?
Najnowsze wątki
- 2024-07-10 Nadchodzi nowa opłata od posiadania aut spalinowych
- 2024-07-10 Droga dwukierunkowa
- 2024-07-10 Elektryki są fajne
- 2024-07-10 Elektryki są fajne :(
- 2024-07-09 USB -> jack
- 2024-07-10 Kompakt WC z montażem
- 2024-07-10 Gorąco za oknem, to napisałem piosenkę o grupowiczach
- 2024-07-09 Naprawa klimy przenośnej - czy to opłacalne?
- 2024-07-10 Białystok => Technical Leader (Java Background) <=
- 2024-07-10 Białystok => Senior Rust Software Engineer <=
- 2024-07-10 Warszawa => Spedytor Międzynarodowy <=
- 2024-07-10 Warszawa => Spedytor międzynarodowy <=
- 2024-07-10 Warszawa => Technical Lead ( (Java Background)) <=
- 2024-07-10 Warszawa => Projektant/Programista React Native <=
- 2024-07-10 Gdańsk => Head of International Freight Forwarding Department <=