-
Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!news.man.lodz.pl
!lublin.pl!news.onet.pl!.POSTED!not-for-mail
From: Michal Kleczek <k...@g...com>
Newsgroups: pl.comp.programming
Subject: Re: Aplikacje bazodanowe - bezpieczeństwo
Date: Wed, 29 Jun 2011 11:28:22 +0200
Organization: http://onet.pl
Lines: 35
Message-ID: <iuer7p$s7f$1@news.onet.pl>
References: <4e09cf5c$0$2438$65785112@news.neostrada.pl> <iuck48$ijr$1@news.onet.pl>
<iucmsh$ue8$4@solani.org> <iucnvv$1hp$1@news.onet.pl>
<iucp8s$83e$1@solani.org> <iucq9m$ake$1@news.onet.pl>
<qtrn2yav8xs.1n3xvs8cc6ljm$.dlg@40tude.net> <iuelec$u2l$1@news.onet.pl>
<iueqeh$7jt$1@node2.news.atman.pl>
NNTP-Posting-Host: 77-252-124-164.ip.netia.com.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8Bit
X-Trace: news.onet.pl 1309339705 28911 77.252.124.164 (29 Jun 2011 09:28:25 GMT)
X-Complaints-To: n...@o...pl
NNTP-Posting-Date: Wed, 29 Jun 2011 09:28:25 +0000 (UTC)
User-Agent: KNode/4.4.10
Xref: news-archive.icm.edu.pl pl.comp.programming:191239
[ ukryj nagłówki ]b...@n...pl wrote:
> On 29.06.2011 09:49, Michal Kleczek wrote:
>>
>> Sa przynajmniej dwa problemy z tym rozumowaniem:
>> 1. To jest tylko przesuniecie rozwiazania problemu z DBMS do aplikacji.
>> Klopot polega na tym, ze weryfikacja oprogramowania pod katem
>> bezpieczenstwa jest droga i co za tym idzie aplikacja jest znacznie
>> bardziej narazona na bledy niz DBMS (najlepszym przykladem sa wszystkie
>> ataki typu SQL injection - wbudowanie zabezpieczen w DBMS chroni dane
>> przed atakami wykorzystujacymi bledy w aplikacjach).
>> 2. W przypadku aplikacji typu "gruby klient" - jak zapewnic, ze dostep do
>> danych bedzie sie odbywal _tylko_ przy pomocy tejze aplikacji?
>> 3. Jak rozwiazac problem wielu aplikacji korzystajacych z jednej bazy
>> danych. Kazda ma swoj wlasny system zabezpieczen?
>
> Problem w tym, że między aplikacją klienta, a DBMS musi być jeszcze
> jedna warstwa. Kiedyś korzystałem z programu takiego, w 2 minuty
> znalazłem zaszyte hasło w nim do bazy danych. Więc całe zabezpieczenia
> na poziomie programu były w jednej chwili do wyrzucenia.
> Aplikacja klienta powinna łączyć się z jakimś API i na poziomie tego API
> musi nastąpić przydział odpowiednich uprawnień.
To chyba sie nie rozumiemy - ja postuluje, zeby kazdy _uzytkownik_ (nie
aplikacja) mial swoje konto w DBMS. Uprawnienia do danych sa przydzielane
uzytkownikom w DBMS. Aplikacja nie ma "zaszytych" zadnych hasel do bazy
danych.
> 80% czy więcej kradzieży danych z firm jest popełniana przez pracowników.
>
Wlasnie. Stad DBMSy oferuja np. funkcje audytu.
--
Michal
Następne wpisy z tego wątku
- 29.06.11 09:40 Mariusz Kruk
- 29.06.11 09:33 Michal Kleczek
- 29.06.11 09:22 Mariusz Kruk
- 29.06.11 09:39 Lukasz
- 29.06.11 09:50 Michal Kleczek
- 29.06.11 09:59 Mariusz Kruk
- 29.06.11 10:19 Marek Borowski
- 29.06.11 10:20 Michal Kleczek
- 29.06.11 10:28 Stachu 'Dozzie' K.
- 29.06.11 10:37 Mariusz Kruk
- 29.06.11 11:24 Piotr Chamera
- 29.06.11 12:33 Przemek O.
- 29.06.11 19:04 Zbigniew Malec
- 29.06.11 19:59 Zbigniew Malec
- 29.06.11 20:07 Marek Borowski
Najnowsze wątki z tej grupy
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
- Press Release - AEiC 2023, Ada-Europe Reliable Softw. Technol.
- Ada-Europe - AEiC 2023 early registration deadline approaching
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2023
- Ile cykli zajmuje mnożenie liczb 64-bitowych?
Najnowsze wątki
- 2024-06-29 eSIM, praktyczne doświadczenia z różnymi operatorami?
- 2024-06-30 1250 euro za rezygnacje z posiadania samochodu
- 2024-06-29 poszedł na czerwonym i uderzył w motur
- 2024-06-29 Tesla to wóz dla mnie
- 2024-06-30 Podstawa bezpiecznikowa jako rozłącznik DC
- 2024-06-29 Napięcie akumulatora wyłączające UPS / jakie nowe akumulatory do UPS?
- 2024-06-30 Basen i chłodzenie w w wentylacji mechanicznej
- 2024-06-29 na chuj mieć dom?
- 2024-06-29 Marki => ERP Implementer <=
- 2024-06-29 Warszawa => SQL Database Developer <=
- 2024-06-29 Poznań => Senior PHP Developer (Symfony) <=
- 2024-06-29 Warszawa => Senior Cloud DevOps Engineer (Azure) <=
- 2024-06-29 Gdańsk => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-06-29 Ulm => IT Network Engineer <=
- 2024-06-29 Warszawa => Full Stack .Net Engineer <=