On 29.06.2011 09:49, Michal Kleczek wrote:
>
> Sa przynajmniej dwa problemy z tym rozumowaniem:
> 1. To jest tylko przesuniecie rozwiazania problemu z DBMS do aplikacji.
> Klopot polega na tym, ze weryfikacja oprogramowania pod katem bezpieczenstwa
> jest droga i co za tym idzie aplikacja jest znacznie bardziej narazona na
> bledy niz DBMS (najlepszym przykladem sa wszystkie ataki typu SQL injection
> - wbudowanie zabezpieczen w DBMS chroni dane przed atakami wykorzystujacymi
> bledy w aplikacjach).
> 2. W przypadku aplikacji typu "gruby klient" - jak zapewnic, ze dostep do
> danych bedzie sie odbywal _tylko_ przy pomocy tejze aplikacji?
> 3. Jak rozwiazac problem wielu aplikacji korzystajacych z jednej bazy
> danych. Kazda ma swoj wlasny system zabezpieczen?

Problem w tym, że między aplikacją klienta, a DBMS musi być jeszcze
jedna warstwa. Kiedyś korzystałem z programu takiego, w 2 minuty
znalazłem zaszyte hasło w nim do bazy danych. Więc całe zabezpieczenia
na poziomie programu były w jednej chwili do wyrzucenia.
Aplikacja klienta powinna łączyć się z jakimś API i na poziomie tego API
musi nastąpić przydział odpowiednich uprawnień.
80% czy więcej kradzieży danych z firm jest popełniana przez pracowników.

--
wer <",,)~~
http://szumofob.eu