Текущий архив: 2008.05.18;
Скачать: CL | DM;
Вниз
А вот как сделано: регистрируешься на каком-нибудь сайте, Найти похожие ветки
← →
Ega23 © (2008-04-02 18:00) [80]
> Anatoly Podgoretsky © (02.04.08 17:55) [77]
А это - крайне интересно, спасибо, не знал. :)
← →
Anatoly Podgoretsky © (2008-04-02 18:05) [81]> Ega23 (02.04.2008 18:00:19) [79]
Администратор системы, на то и Администратор системы, что бы иметь все права для администрирования, это его обязанность. Решение есть только одно, если не доверяешь администратору, то смени на другого которому доверяешь или администрируй сам, а если себе не доверяешь?
← →
Ega23 © (2008-04-02 18:06) [82]
> а если себе не доверяешь?
убить себя апстену? (других вариантов чё-та не вижу...) :)
← →
Anatoly Podgoretsky © (2008-04-02 18:10) [83]> Ega23 (02.04.2008 18:00:20) [80]
Юриспруденция крайне сложная вещь, тут нельзя опираться на свои предположения, юристы должны серьезно поработать, особенно в твоем случае, иначе можно нарвать на серьезные неприятности.
Это кстати из той же оперы, когда программу привязывают к железу, одного привязывальщика мы серьезно наказали в начале 90 годов, за его счет обновили свой компьютерный парк и купили программу у его конкурента, он не учел класс наших юристов, а они мирового класса. Ему еще очень не повезло, что он уехал куда то далеко на отпуск, за счет этого сумма убытков взлетела до астрономических величин, с тех пор мы его больше не видели на рынке.
← →
Дмитрий С (2008-04-02 18:11) [84]
> с тех пор мы его больше не видели на рынке.
Он теперь на рынке... в самом прямом смысле этого слова =)
← →
Kolan © (2008-04-02 18:17) [85]> а они мирового класса
Мирового класса по Российскому законодательству? :)
← →
b z (2008-04-02 19:11) [86]
> Ega23 ©
Вы так долго изобретали UID, почему бы его не использовать в данном случае, т.е. "мусорить" (или еще как) права юзера с его-же UID-ом ... (как предложение)
← →
Anatoly Podgoretsky © (2008-04-02 19:44) [87]> Ega23 (02.04.2008 18:06:22) [82]
Не, ну я серьезно.
← →
Anatoly Podgoretsky © (2008-04-02 19:49) [88]> Kolan (02.04.2008 18:17:25) [85]
С Российским законодательством почти не приходится иметь дело, зона интересов, весь наш рынок это Евросоюз, обе америки и Серверная Африка, без хороших юристов легко остаться без штанов, но мы и сами можем других оставить без этого, только дай повод.
← →
tesseract © (2008-04-02 20:45) [89]
> Вы так долго изобретали UID, почему бы его не использовать
> в данном случае, т.е. "мусорить" (или еще как) права юзера
> с его-же UID-ом ... (как предложение)
Предложение надо осмыслить, Ваше уровня "Я студент, я крут, я кучу книжек перечитал".
Я видел много систем, объяснить зачем Олегу это понадобилось, кроме как ИБД всяких доморощенных security я не могу.
← →
KlGuy (2008-04-02 20:53) [90]А в чем проблема?
Очень сложно ограничить разрешить доступ к таблице только определенным процедурам, доступ к процедурам разрешить только админу и клиентскому ПО, ну а в самих процедурах уже права конкретного пользователя проверять.
← →
tesseract © (2008-04-02 20:55) [91]
> доступ к процедурам разрешить только админу и клиентскому
> ПО, ну а в самих процедурах уже права конкретного пользователя
> проверять.
Код запроса в студию.
← →
KlGuy (2008-04-02 20:59) [92]
> tesseract © (02.04.08 20:55) [91]
"Хватит умничать, давай код" ?
Если тут с серьезными СУБД никто не работал толком, я как-то не виноват. RTFM.
← →
tesseract © (2008-04-02 21:02) [93]
> Если тут с серьезными СУБД никто не работал толком, я как-
> то не виноват. RTFM.
Тут все работаю с серьёзными СУБД. Читай ветку с начала.
← →
KlGuy (2008-04-02 21:05) [94]
> tesseract © (02.04.08 21:02) [93]
Да читал я ветку. Правильное решение еще в [26] написано. К этому только добавить настройку прав доступа к самой таблице и все. А от админа ничего не спасет, с этим в детский сад.
← →
Ega23 © (2008-04-02 21:10) [95]
> Да читал я ветку. Правильное решение еще в [26] написано.
Видать хреново читал.
← →
tesseract © (2008-04-02 21:21) [96]
> Да читал я ветку. Правильное решение еще в [26] написано.
оу из да мэн!!! МегаФранч. Твое любое решение при условии доступа к файлам я хакну за вечер. Ну не считай всяких хитростей вроде шифровке самих файлов - потребуеться расшифровать. Если бы в [26] присутсвовало правильное решение ветка бы замолчала. Ega23 много лет проработал в системах безопастности и именно с "крутыми" БД. Так что, он зря не спрашивает.
← →
Ega23 © (2008-04-02 21:32) [97]
> Ega23 много лет проработал в системах безопастности и именно
> с "крутыми" БД.
Я всё-таки немного в другой "безопасности", я скорее по сигнализациям всяким и управлению доступом.
← →
KlGuy (2008-04-02 21:39) [98]
> tesseract © (02.04.08 21:21) [96]
> оу из да мэн!!! МегаФранч. Твое любое решение при условии
> доступа к файлам я хакну за вечер. Ну не считай всяких хитростей
> вроде шифровке самих файлов - потребуеться расшифровать.
Странно, что ты еще не миллионер. Напиши в суппорт Оракла и Мелкософт, как хакнуть базу не зная админского пароля, но имея доступ к файлам, они заплатят, уверен :)
Детский сад.
← →
Ega23 © (2008-04-02 21:42) [99]
> Напиши в суппорт Оракла и Мелкософт, как хакнуть базу не
> зная админского пароля, но имея доступ к файлам, они заплатят,
> уверен :)
Еще раз: возьми бэкап базы и восстанови его дома на локальном сервере.
← →
KlGuy (2008-04-02 21:47) [100]
> Ega23 © (02.04.08 21:42) [99]
Где я его полный возьму, если я не админ?
А как безопасно хранить админские дампы - другой вопрос. Сама база данных его не обязана решать.
← →
tesseract © (2008-04-02 22:00) [101]
> Напиши в суппорт Оракла и Мелкософт, как хакнуть базу не
> зная админского пароля, но имея доступ к файлам, они заплатят,
> уверен :)
Задача стоит защить базу от тех кто ЗНАЕТ админский пароль.
← →
tesseract © (2008-04-02 22:02) [102]
> Где я его полный возьму, если я не админ?
Ты задачи больше 1 миллиона рублей ЯВНО не решал. Так что брось понты кидать. Получить админские права - около 10-20 тысяч долларов + 4-5 недель. В базе средней конторы.
← →
KlGuy (2008-04-02 22:02) [103]
> tesseract © (02.04.08 22:00) [101]
> Задача стоит защить базу от тех кто ЗНАЕТ админский пароль.
Эта задача нерешаема в принципе. Если подумаешь, поймешь почему.
Тут либо делать "админа" с кастрированными правами доступа взамен настоящего, либо не болтать ерундой.
← →
tesseract © (2008-04-02 22:07) [104]
> Эта задача нерешаема в принципе.
Хакни novel + eDrirectory - там такое возможно.
← →
Игорь Шевченко © (2008-04-02 22:11) [105]
> Задача стоит защить базу от тех кто ЗНАЕТ админский пароль.
Не знаю, как в MSSQL, но во многих базах эта задача решается только поддержкой шифрования данных.
← →
Ega23 © (2008-04-02 22:12) [106]
> Эта задача нерешаема в принципе.
Решаема в принципе. Вон, Линукс вообще опенсорсный. При входе - только логин и пассворд. Однако как-то определяет, какие тебе права положены.
← →
Игорь Шевченко © (2008-04-02 22:13) [107]Ega23 © (02.04.08 22:12) [106]
> Вон, Линукс вообще опенсорсный. При входе - только логин
> и пассворд. Однако как-то определяет, какие тебе права положены.
>
И от root-а защищена ?
← →
Ega23 © (2008-04-02 22:13) [108]Задача стоит не защитить базу, а недопустить сговора пользователя с человеком, имеющим прямой доступ к данным, с целью "поднятия" прав доступа пользователя.
← →
Ega23 © (2008-04-02 22:14) [109]
> И от root-а защищена ?
дык а как она узнаёт, что ты - root? Как-то ведь узнаёт. И даёт полный доступ ко всему.
← →
tesseract © (2008-04-02 22:15) [110]
> Однако как-то определяет, какие тебе права положены.
Права на файлы - не больше. Каждому файлу определены только то что текущий пользователь может с ним делать, всё в ФС. Можно в приципе, он очень много кода и триггеров потребуеться.
← →
tesseract © (2008-04-02 22:16) [111]
> дык а как она узнаёт, что ты - root? Как-то ведь узнаёт.
userid = 0 ;-)
← →
Ega23 © (2008-04-02 22:20) [112]
> userid = 0 ;-)
ну хорошо, одного мы так исключим... :)))
← →
tesseract © (2008-04-02 22:23) [113]
> ну хорошо, одного мы так исключим... :)))
В тяпницу расскажу как там что. На пальцах лучше получаеться. Но база "вширь" у тебя сильно пойдёт. И против "рестора" из бэкапа не попрёшь.
← →
Игорь Шевченко © (2008-04-02 22:24) [114]
> Задача стоит не защитить базу, а недопустить сговора пользователя
> с человеком, имеющим прямой доступ к данным, с целью "поднятия"
> прав доступа пользователя.
С этого места подробнее или ссылку на пост с подробным описанием
← →
tesseract © (2008-04-02 22:30) [115]
> С этого места подробнее или ссылку на пост с подробным описанием
[0] и чуть ниже. Или смотреть учебные материалы по netware / eDirectory. Наверно поэтому и въехал что именно нужно - на курсах очень подробно объясняли как это в eDirectory делаеться. На пальцах - нужен chroot.
← →
Игорь Шевченко © (2008-04-02 22:33) [116]
> [0]
и [108] как-то слабо связаны между собой. Админ чего имеется в виду - базы данных или локальной сети ?
← →
tesseract © (2008-04-02 22:37) [117]
> Админ чего имеется в виду - базы данных или локальной сети
> ?
Все уровни. + Должен быть выделен админ кнкретного отдела, novel с этим вопросом 30 лет билась. Но решение нашла, но не через SQL.
← →
Игорь Шевченко © (2008-04-02 22:41) [118]tesseract © (02.04.08 22:37) [117]
Причем тут novell ?
← →
KlGuy (2008-04-02 22:47) [119]Бедлам какой-то. Спецъйалисты :). Куда мне там...
← →
tesseract © (2008-04-02 22:51) [120]
> Причем тут novell ?
Там есть решение нужное олегу :-). Каждая ветка может быть изолирована по уровню доступа, даже от самого верховного Админа.
Страницы: 1 2 3 4 вся ветка
Текущий архив: 2008.05.18;
Скачать: CL | DM;
Память: 0.68 MB
Время: 0.054 c
