b...@n...pl wrote:

> On 29.06.2011 09:49, Michal Kleczek wrote:
>>
>> Sa przynajmniej dwa problemy z tym rozumowaniem:
>> 1. To jest tylko przesuniecie rozwiazania problemu z DBMS do aplikacji.
>> Klopot polega na tym, ze weryfikacja oprogramowania pod katem
>> bezpieczenstwa jest droga i co za tym idzie aplikacja jest znacznie
>> bardziej narazona na bledy niz DBMS (najlepszym przykladem sa wszystkie
>> ataki typu SQL injection - wbudowanie zabezpieczen w DBMS chroni dane
>> przed atakami wykorzystujacymi bledy w aplikacjach).
>> 2. W przypadku aplikacji typu "gruby klient" - jak zapewnic, ze dostep do
>> danych bedzie sie odbywal _tylko_ przy pomocy tejze aplikacji?
>> 3. Jak rozwiazac problem wielu aplikacji korzystajacych z jednej bazy
>> danych. Kazda ma swoj wlasny system zabezpieczen?
>
> Problem w tym, że między aplikacją klienta, a DBMS musi być jeszcze
> jedna warstwa. Kiedyś korzystałem z programu takiego, w 2 minuty
> znalazłem zaszyte hasło w nim do bazy danych. Więc całe zabezpieczenia
> na poziomie programu były w jednej chwili do wyrzucenia.
> Aplikacja klienta powinna łączyć się z jakimś API i na poziomie tego API
> musi nastąpić przydział odpowiednich uprawnień.

To chyba sie nie rozumiemy - ja postuluje, zeby kazdy _uzytkownik_ (nie
aplikacja) mial swoje konto w DBMS. Uprawnienia do danych sa przydzielane
uzytkownikom w DBMS. Aplikacja nie ma "zaszytych" zadnych hasel do bazy
danych.

> 80% czy więcej kradzieży danych z firm jest popełniana przez pracowników.
>

Wlasnie. Stad DBMSy oferuja np. funkcje audytu.

--
Michal