Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Потрепаться";
Текущий архив: 2005.08.28;
Скачать: [xml.tar.bz2];

Вниз

Безопасность MS SQL 2000   Найти похожие ветки 

 
silvestr   (2005-08-02 11:03) [0]

Есть своя программа , расботает на локальной машине что и MS SQL так вот кто угодно может подключиться ( например своими наработаеми , Акцесом ) и редактировать данные .. Пароль легко узнать так как установку программы может сделать и сам взломщик а потом из ней отчёты менять .. неужели MS SQL в плане защиты такая беспонтовая ?


 
Lamer@fools.ua ©   (2005-08-02 11:07) [1]

LMD


 
_Alx2_   (2005-08-02 11:09) [2]

Как соотносются

>Пароль легко узнать так как установку программы может сделать и
>сам взломщик

и

>неужели MS SQL в плане защиты такая беспонтовая ?

?


 
ocean   (2005-08-02 11:10) [3]

не совсем понял, как взломщик узнает допустим пароль DBO к базе MS SQL. Нужны подробности, что за пароль в программе, какие пользователи у БД и тп


 
silvestr   (2005-08-02 11:14) [4]

> ocean   (02.08.05 11:10) [3]

В общем чтобы настроить подключение к базе нужен пароль !
Этот пароль знает взломщик так как он являеться тем самым человектом кто установил программу и базу ( либо он узнаёт пароль ) В итоге чел пишет ( использует готовую ) прогу и редактирует базу

А так как база нефига не шифруеться то вопрос ? Как сделать чтобы нельзя было просмотривать и редактировать базу ? Есть лив Ms SQL встроенные средства ?


 
Ega23 ©   (2005-08-02 11:26) [5]

Базу перенести на CD-носители. Сессии на CD закрыть, чтобы никакая сука данные дописать не могла.
Программу стереть. На низком уровне. Кластеры записать нулями.
Диск потом отформатировать, вытащить из компа, разбить на части и положить под асфальтоукладчик. Системный блок - тоже.
Человека, устанавливающего программу (он же "взломщик") - пытать долго, узнавая кому он слил пароли доступа к базе. Потом цЫнично убить. Тело погрузить в концентрированную азотку до полного растворения мягких и твёрдых тканей.
Застрелиться самому.


 
DVM ©   (2005-08-02 11:26) [6]


> неужели MS SQL в плане защиты такая беспонтовая ?

беспонтовые настройщики просто


 
AxelBlack   (2005-08-02 11:28) [7]

>silvestr   (02.08.05 11:03)
Наберите в google или на microsoft "Security SQL server", чтобы иметь более понятное представление об организации безопасной политики и об архитектуре аутентикации SQL сервера
Посвятите этому 2-3 часа


 
sniknik ©   (2005-08-02 11:30) [8]

> Этот пароль знает взломщик так как он являеться тем самым человектом кто установил программу и базу
взломщик=админ? никто тебя от него не спасет. имхо.


 
ocean   (2005-08-02 11:35) [9]

согласен с [8]. Необходимо более тщательно продумать организацию защиты программы. Варианты есть


 
ЮЮ ©   (2005-08-02 11:35) [10]

Какой админ? "Есть своя программа , работает на локальной машине что и MS SQL". Это просто тяжелый троян. Устанввливается разработчиком для получения данных от клиента :)


 
sniknik ©   (2005-08-02 11:46) [11]

ЮЮ ©   (02.08.05 11:35) [10]
> Какой админ?
ну базу то он устанавливает, значит доступ к ней имеет, админские права есть... скорее всего. (или на крайний случай права на создание/редактирование базы) иначе бы не смог ее создать.
вот этот самый. ;о))
и как тогда зашишать базу от редактирования если сам ему пароль на него на блюдечке с голубой каемочкой выдал?
если бы ограничивалость только программой, установкой - другое дело.


 
silvestr   (2005-08-02 11:55) [12]

> sniknik ©   (02.08.05 11:46) [11]

В этом случае тогда как поступить , зашить пароль доступа к MS SQL в програму ?! А с установкой что деалть ведь взломщик может подключиться к пользователю SA либо с помощью доверенного подключения. Как эти дырки закрыть ?


 
ЮЮ ©   (2005-08-02 12:05) [13]

для установшика (он же потенциальный взломщик) создаешь логин с правами только чтения. Его задача установить программу и убедиться, что она работает.

Для пользователей, редактирующих таблицы, создаешь группу с правами редактирования таблиц, а им говоришь, что свой пароль они НИКОМУ не должны говорить, ибо ВСЕ ИЗМЕНЕНИЯ фиксируются от их имени и в случае чего они несут информацию за достоверность данных.

Меняешь все существовавшие пароли


 
sniknik ©   (2005-08-02 12:25) [14]

silvestr   (02.08.05 11:55) [12]
никак!
если у него есть физический доступ к базе компу с MSSQL зашишаться безсмыссленно. MSSQL этого и не делает (как кстати и любой(??? хотя... может и есть "извраты") другой sql сервер), зашита построена на внешние атаки а не от человека который эту базу/MSSQL обслуживает...
вот если ты выделиш сервер, отгородиш его от физического доступа "недостойных" лиц, закроеш права всем из сети (кроме нужных проге), вот тогда можно говорить о защите... и то если нужные права проги продуманны и не позволяют вольностей... если ктото раньше тебя не узнал о дыре в мелкосовтском творении и не воспользовался этим. (а как ты хотел? следить надо. ;)
а то отдал все, и хочеш чтобы не влезли.


 
Esu ©   (2005-08-02 12:37) [15]

Если есть физический доступ то нет смысла голову морочить... Разве что от совсем уж чайников можно чего-то придумать но чуть более толковый человек хакнет это все на раз.


 
ocean   (2005-08-02 12:48) [16]

иными словами, покупатель сам устанавливает ms sql, а затем программу? при этом все происходит локально. Вот вариант. Вместе с программой пусть инсталлятор копирует БД, созданную заранее разработчиком, т.е. ее файл .DAT, и уж там пользователи и права какие надо. Покупатель ставит MS SQL, а затем делает Attach database на скопированную БД. Вот так, и паролей никто не знает


 
sniknik ©   (2005-08-02 13:12) [17]

ocean   (02.08.05 12:48) [16]
а их и не надо в этом случае, есть же sa и админски пароль винды.

> т.е. ее файл .DAT
скорее тогда уж .mdf, но смысла это не меняет. чтобы сделать атач, надо иметь права на базу мастер а уж она то поглавнее чем ваше "защишаемое" творение. и естественно имея такие права, с вашей базой можно сделать что угодно.


 
silvestr   (2005-08-02 13:20) [18]

> ocean   (02.08.05 12:48) [16]

Спасибо , так и поступлю


 
silvestr   (2005-08-02 13:23) [19]

> sniknik ©   (02.08.05 13:12) [17]

Сделать установщик который после установки меняет пароль на SA и закрывает все дырки...

Вот ещё бы кто подсказал как изменить тип регестрации на сервере чтобы нельзя было довереное подключение сделать , типа правами windows а только паролем и можно было бы


 
sniknik ©   (2005-08-02 13:24) [20]

даже (допустим) все берет на себя прога, только у нее "унутрях" зашиты зашифрованные пароли, на sa установлена 128-символьная ахинея и забыта, комп с предустановкой передается юзеру, и ему не даются админские пароли... есть только юзерский...
но есть же ERD system и прочая админская атрибутика, позволяющая восстановить/изменить забытое.

единственное более менее действенное средство, исключить физический доступ. + все все те возможности, что предоставляет MSSQL.

silvestr   (02.08.05 13:20) [18]
читаеш выборочно? только то что тебе нравится?
хочеш сделай, но не питай иллюзий. ;о))



Страницы: 1 вся ветка

Форум: "Потрепаться";
Текущий архив: 2005.08.28;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.5 MB
Время: 0.039 c
14-1123483701
SPeller
2005-08-08 10:48
2005.08.28
Что такое Up-Link на хабах?


14-1122973644
12DFBDDh
2005-08-02 13:07
2005.08.28
Политкорректные сказки


14-1123074511
Antonn
2005-08-03 17:08
2005.08.28
Держащим сайты на narod.ru


1-1122897851
Ilg
2005-08-01 16:04
2005.08.28
Проблемы с использованием XPManifest


11-1106228060
Bil Bal Dur
2005-01-20 16:34
2005.08.28
InputBox или InoutQuery в KOL





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский