Форум: "Потрепаться";
Текущий архив: 2005.08.28;
Скачать: [xml.tar.bz2];
ВнизБезопасность MS SQL 2000 Найти похожие ветки
← →
silvestr (2005-08-02 11:03) [0]Есть своя программа , расботает на локальной машине что и MS SQL так вот кто угодно может подключиться ( например своими наработаеми , Акцесом ) и редактировать данные .. Пароль легко узнать так как установку программы может сделать и сам взломщик а потом из ней отчёты менять .. неужели MS SQL в плане защиты такая беспонтовая ?
← →
Lamer@fools.ua © (2005-08-02 11:07) [1]LMD
← →
_Alx2_ (2005-08-02 11:09) [2]Как соотносются
>Пароль легко узнать так как установку программы может сделать и
>сам взломщик
и
>неужели MS SQL в плане защиты такая беспонтовая ?
?
← →
ocean (2005-08-02 11:10) [3]не совсем понял, как взломщик узнает допустим пароль DBO к базе MS SQL. Нужны подробности, что за пароль в программе, какие пользователи у БД и тп
← →
silvestr (2005-08-02 11:14) [4]> ocean (02.08.05 11:10) [3]
В общем чтобы настроить подключение к базе нужен пароль !
Этот пароль знает взломщик так как он являеться тем самым человектом кто установил программу и базу ( либо он узнаёт пароль ) В итоге чел пишет ( использует готовую ) прогу и редактирует базу
А так как база нефига не шифруеться то вопрос ? Как сделать чтобы нельзя было просмотривать и редактировать базу ? Есть лив Ms SQL встроенные средства ?
← →
Ega23 © (2005-08-02 11:26) [5]Базу перенести на CD-носители. Сессии на CD закрыть, чтобы никакая сука данные дописать не могла.
Программу стереть. На низком уровне. Кластеры записать нулями.
Диск потом отформатировать, вытащить из компа, разбить на части и положить под асфальтоукладчик. Системный блок - тоже.
Человека, устанавливающего программу (он же "взломщик") - пытать долго, узнавая кому он слил пароли доступа к базе. Потом цЫнично убить. Тело погрузить в концентрированную азотку до полного растворения мягких и твёрдых тканей.
Застрелиться самому.
← →
DVM © (2005-08-02 11:26) [6]
> неужели MS SQL в плане защиты такая беспонтовая ?
беспонтовые настройщики просто
← →
AxelBlack (2005-08-02 11:28) [7]>silvestr (02.08.05 11:03)
Наберите в google или на microsoft "Security SQL server", чтобы иметь более понятное представление об организации безопасной политики и об архитектуре аутентикации SQL сервера
Посвятите этому 2-3 часа
← →
sniknik © (2005-08-02 11:30) [8]> Этот пароль знает взломщик так как он являеться тем самым человектом кто установил программу и базу
взломщик=админ? никто тебя от него не спасет. имхо.
← →
ocean (2005-08-02 11:35) [9]согласен с [8]. Необходимо более тщательно продумать организацию защиты программы. Варианты есть
← →
ЮЮ © (2005-08-02 11:35) [10]Какой админ? "Есть своя программа , работает на локальной машине что и MS SQL". Это просто тяжелый троян. Устанввливается разработчиком для получения данных от клиента :)
← →
sniknik © (2005-08-02 11:46) [11]ЮЮ © (02.08.05 11:35) [10]
> Какой админ?
ну базу то он устанавливает, значит доступ к ней имеет, админские права есть... скорее всего. (или на крайний случай права на создание/редактирование базы) иначе бы не смог ее создать.
вот этот самый. ;о))
и как тогда зашишать базу от редактирования если сам ему пароль на него на блюдечке с голубой каемочкой выдал?
если бы ограничивалость только программой, установкой - другое дело.
← →
silvestr (2005-08-02 11:55) [12]> sniknik © (02.08.05 11:46) [11]
В этом случае тогда как поступить , зашить пароль доступа к MS SQL в програму ?! А с установкой что деалть ведь взломщик может подключиться к пользователю SA либо с помощью доверенного подключения. Как эти дырки закрыть ?
← →
ЮЮ © (2005-08-02 12:05) [13]для установшика (он же потенциальный взломщик) создаешь логин с правами только чтения. Его задача установить программу и убедиться, что она работает.
Для пользователей, редактирующих таблицы, создаешь группу с правами редактирования таблиц, а им говоришь, что свой пароль они НИКОМУ не должны говорить, ибо ВСЕ ИЗМЕНЕНИЯ фиксируются от их имени и в случае чего они несут информацию за достоверность данных.
Меняешь все существовавшие пароли
← →
sniknik © (2005-08-02 12:25) [14]silvestr (02.08.05 11:55) [12]
никак!
если у него есть физический доступ к базе компу с MSSQL зашишаться безсмыссленно. MSSQL этого и не делает (как кстати и любой(??? хотя... может и есть "извраты") другой sql сервер), зашита построена на внешние атаки а не от человека который эту базу/MSSQL обслуживает...
вот если ты выделиш сервер, отгородиш его от физического доступа "недостойных" лиц, закроеш права всем из сети (кроме нужных проге), вот тогда можно говорить о защите... и то если нужные права проги продуманны и не позволяют вольностей... если ктото раньше тебя не узнал о дыре в мелкосовтском творении и не воспользовался этим. (а как ты хотел? следить надо. ;)
а то отдал все, и хочеш чтобы не влезли.
← →
Esu © (2005-08-02 12:37) [15]Если есть физический доступ то нет смысла голову морочить... Разве что от совсем уж чайников можно чего-то придумать но чуть более толковый человек хакнет это все на раз.
← →
ocean (2005-08-02 12:48) [16]иными словами, покупатель сам устанавливает ms sql, а затем программу? при этом все происходит локально. Вот вариант. Вместе с программой пусть инсталлятор копирует БД, созданную заранее разработчиком, т.е. ее файл .DAT, и уж там пользователи и права какие надо. Покупатель ставит MS SQL, а затем делает Attach database на скопированную БД. Вот так, и паролей никто не знает
← →
sniknik © (2005-08-02 13:12) [17]ocean (02.08.05 12:48) [16]
а их и не надо в этом случае, есть же sa и админски пароль винды.
> т.е. ее файл .DAT
скорее тогда уж .mdf, но смысла это не меняет. чтобы сделать атач, надо иметь права на базу мастер а уж она то поглавнее чем ваше "защишаемое" творение. и естественно имея такие права, с вашей базой можно сделать что угодно.
← →
silvestr (2005-08-02 13:20) [18]> ocean (02.08.05 12:48) [16]
Спасибо , так и поступлю
← →
silvestr (2005-08-02 13:23) [19]> sniknik © (02.08.05 13:12) [17]
Сделать установщик который после установки меняет пароль на SA и закрывает все дырки...
Вот ещё бы кто подсказал как изменить тип регестрации на сервере чтобы нельзя было довереное подключение сделать , типа правами windows а только паролем и можно было бы
← →
sniknik © (2005-08-02 13:24) [20]даже (допустим) все берет на себя прога, только у нее "унутрях" зашиты зашифрованные пароли, на sa установлена 128-символьная ахинея и забыта, комп с предустановкой передается юзеру, и ему не даются админские пароли... есть только юзерский...
но есть же ERD system и прочая админская атрибутика, позволяющая восстановить/изменить забытое.
единственное более менее действенное средство, исключить физический доступ. + все все те возможности, что предоставляет MSSQL.
silvestr (02.08.05 13:20) [18]
читаеш выборочно? только то что тебе нравится?
хочеш сделай, но не питай иллюзий. ;о))
Страницы: 1 вся ветка
Форум: "Потрепаться";
Текущий архив: 2005.08.28;
Скачать: [xml.tar.bz2];
Память: 0.5 MB
Время: 0.039 c