А вот как сделано: регистрируешься на каком-нибудь сайте,

← →
Ega23 © (2008-04-02 18:00) [80]

> Anatoly Podgoretsky © (02.04.08 17:55) [77]

А это - крайне интересно, спасибо, не знал. :)

← →
Anatoly Podgoretsky © (2008-04-02 18:05) [81]

> Ega23 (02.04.2008 18:00:19) [79]

Администратор системы, на то и Администратор системы, что бы иметь все права для администрирования, это его обязанность. Решение есть только одно, если не доверяешь администратору, то смени на другого которому доверяешь или администрируй сам, а если себе не доверяешь?

← →
Ega23 © (2008-04-02 18:06) [82]

> а если себе не доверяешь?

убить себя апстену? (других вариантов чё-та не вижу...) :)

← →
Anatoly Podgoretsky © (2008-04-02 18:10) [83]

> Ega23 (02.04.2008 18:00:20) [80]

Юриспруденция крайне сложная вещь, тут нельзя опираться на свои предположения, юристы должны серьезно поработать, особенно в твоем случае, иначе можно нарвать на серьезные неприятности.
Это кстати из той же оперы, когда программу привязывают к железу, одного привязывальщика мы серьезно наказали в начале 90 годов, за его счет обновили свой компьютерный парк и купили программу у его конкурента, он не учел класс наших юристов, а они мирового класса. Ему еще очень не повезло, что он уехал куда то далеко на отпуск, за счет этого сумма убытков взлетела до астрономических величин, с тех пор мы его больше не видели на рынке.

← →
Дмитрий С (2008-04-02 18:11) [84]

> с тех пор мы его больше не видели на рынке.

Он теперь на рынке... в самом прямом смысле этого слова =)

← →
Kolan © (2008-04-02 18:17) [85]

> а они мирового класса

Мирового класса по Российскому законодательству? :)

← →
b z (2008-04-02 19:11) [86]

> Ega23 ©

Вы так долго изобретали UID, почему бы его не использовать в данном случае, т.е. "мусорить" (или еще как) права юзера с его-же UID-ом ... (как предложение)

← →
Anatoly Podgoretsky © (2008-04-02 19:44) [87]

> Ega23 (02.04.2008 18:06:22) [82]

Не, ну я серьезно.

← →
Anatoly Podgoretsky © (2008-04-02 19:49) [88]

> Kolan (02.04.2008 18:17:25) [85]

С Российским законодательством почти не приходится иметь дело, зона интересов, весь наш рынок это Евросоюз, обе америки и Серверная Африка, без хороших юристов легко остаться без штанов, но мы и сами можем других оставить без этого, только дай повод.

← →
tesseract © (2008-04-02 20:45) [89]

> Вы так долго изобретали UID, почему бы его не использовать
> в данном случае, т.е. "мусорить" (или еще как) права юзера
> с его-же UID-ом ... (как предложение)

Предложение надо осмыслить, Ваше уровня "Я студент, я крут, я кучу книжек перечитал".
Я видел много систем, объяснить зачем Олегу это понадобилось, кроме как ИБД всяких доморощенных security я не могу.

← →
KlGuy (2008-04-02 20:53) [90]

А в чем проблема?
Очень сложно ограничить разрешить доступ к таблице только определенным процедурам, доступ к процедурам разрешить только админу и клиентскому ПО, ну а в самих процедурах уже права конкретного пользователя проверять.

← →
tesseract © (2008-04-02 20:55) [91]

> доступ к процедурам разрешить только админу и клиентскому
> ПО, ну а в самих процедурах уже права конкретного пользователя
> проверять.

Код запроса в студию.

← →
KlGuy (2008-04-02 20:59) [92]

> tesseract © (02.04.08 20:55) [91]

"Хватит умничать, давай код" ?

Если тут с серьезными СУБД никто не работал толком, я как-то не виноват. RTFM.

← →
tesseract © (2008-04-02 21:02) [93]

> Если тут с серьезными СУБД никто не работал толком, я как-
> то не виноват. RTFM.

Тут все работаю с серьёзными СУБД. Читай ветку с начала.

← →
KlGuy (2008-04-02 21:05) [94]

> tesseract © (02.04.08 21:02) [93]

Да читал я ветку. Правильное решение еще в [26] написано. К этому только добавить настройку прав доступа к самой таблице и все. А от админа ничего не спасет, с этим в детский сад.

← →
Ega23 © (2008-04-02 21:10) [95]

> Да читал я ветку. Правильное решение еще в [26] написано.

Видать хреново читал.

← →
tesseract © (2008-04-02 21:21) [96]

> Да читал я ветку. Правильное решение еще в [26] написано.

оу из да мэн!!! МегаФранч. Твое любое решение при условии доступа к файлам я хакну за вечер. Ну не считай всяких хитростей вроде шифровке самих файлов - потребуеться расшифровать. Если бы в [26] присутсвовало правильное решение ветка бы замолчала. Ega23 много лет проработал в системах безопастности и именно с "крутыми" БД. Так что, он зря не спрашивает.

← →
Ega23 © (2008-04-02 21:32) [97]

> Ega23 много лет проработал в системах безопастности и именно
> с "крутыми" БД.

Я всё-таки немного в другой "безопасности", я скорее по сигнализациям всяким и управлению доступом.

← →
KlGuy (2008-04-02 21:39) [98]

> tesseract © (02.04.08 21:21) [96]
> оу из да мэн!!! МегаФранч. Твое любое решение при условии
> доступа к файлам я хакну за вечер. Ну не считай всяких хитростей
> вроде шифровке самих файлов - потребуеться расшифровать.

Странно, что ты еще не миллионер. Напиши в суппорт Оракла и Мелкософт, как хакнуть базу не зная админского пароля, но имея доступ к файлам, они заплатят, уверен :)

Детский сад.

← →
Ega23 © (2008-04-02 21:42) [99]

> Напиши в суппорт Оракла и Мелкософт, как хакнуть базу не
> зная админского пароля, но имея доступ к файлам, они заплатят,
> уверен :)

Еще раз: возьми бэкап базы и восстанови его дома на локальном сервере.

← →
KlGuy (2008-04-02 21:47) [100]

> Ega23 © (02.04.08 21:42) [99]

Где я его полный возьму, если я не админ?
А как безопасно хранить админские дампы - другой вопрос. Сама база данных его не обязана решать.

← →
tesseract © (2008-04-02 22:00) [101]

> Напиши в суппорт Оракла и Мелкософт, как хакнуть базу не
> зная админского пароля, но имея доступ к файлам, они заплатят,
> уверен :)

Задача стоит защить базу от тех кто ЗНАЕТ админский пароль.

← →
tesseract © (2008-04-02 22:02) [102]

> Где я его полный возьму, если я не админ?

Ты задачи больше 1 миллиона рублей ЯВНО не решал. Так что брось понты кидать. Получить админские права - около 10-20 тысяч долларов + 4-5 недель. В базе средней конторы.

← →
KlGuy (2008-04-02 22:02) [103]

> tesseract © (02.04.08 22:00) [101]
> Задача стоит защить базу от тех кто ЗНАЕТ админский пароль.

Эта задача нерешаема в принципе. Если подумаешь, поймешь почему.
Тут либо делать "админа" с кастрированными правами доступа взамен настоящего, либо не болтать ерундой.

← →
tesseract © (2008-04-02 22:07) [104]

> Эта задача нерешаема в принципе.

Хакни novel + eDrirectory - там такое возможно.

← →
Игорь Шевченко © (2008-04-02 22:11) [105]

> Задача стоит защить базу от тех кто ЗНАЕТ админский пароль.

Не знаю, как в MSSQL, но во многих базах эта задача решается только поддержкой шифрования данных.

← →
Ega23 © (2008-04-02 22:12) [106]

> Эта задача нерешаема в принципе.

Решаема в принципе. Вон, Линукс вообще опенсорсный. При входе - только логин и пассворд. Однако как-то определяет, какие тебе права положены.

← →
Игорь Шевченко © (2008-04-02 22:13) [107]

Ega23 © (02.04.08 22:12) [106]

> Вон, Линукс вообще опенсорсный. При входе - только логин
> и пассворд. Однако как-то определяет, какие тебе права положены.
>

И от root-а защищена ?

← →
Ega23 © (2008-04-02 22:13) [108]

Задача стоит не защитить базу, а недопустить сговора пользователя с человеком, имеющим прямой доступ к данным, с целью "поднятия" прав доступа пользователя.

> И от root-а защищена ?

дык а как она узнаёт, что ты - root? Как-то ведь узнаёт. И даёт полный доступ ко всему.

> Однако как-то определяет, какие тебе права положены.

Права на файлы - не больше. Каждому файлу определены только то что текущий пользователь может с ним делать, всё в ФС. Можно в приципе, он очень много кода и триггеров потребуеться.

> дык а как она узнаёт, что ты - root? Как-то ведь узнаёт.

userid = 0 ;-)

> userid = 0 ;-)

ну хорошо, одного мы так исключим... :)))

> ну хорошо, одного мы так исключим... :)))

В тяпницу расскажу как там что. На пальцах лучше получаеться. Но база "вширь" у тебя сильно пойдёт. И против "рестора" из бэкапа не попрёшь.

> Задача стоит не защитить базу, а недопустить сговора пользователя
> с человеком, имеющим прямой доступ к данным, с целью "поднятия"
> прав доступа пользователя.

С этого места подробнее или ссылку на пост с подробным описанием

> С этого места подробнее или ссылку на пост с подробным описанием

[0] и чуть ниже. Или смотреть учебные материалы по netware / eDirectory. Наверно поэтому и въехал что именно нужно - на курсах очень подробно объясняли как это в eDirectory делаеться. На пальцах - нужен chroot.

> [0]

и [108] как-то слабо связаны между собой. Админ чего имеется в виду - базы данных или локальной сети ?

> Админ чего имеется в виду - базы данных или локальной сети
> ?

Все уровни. + Должен быть выделен админ кнкретного отдела, novel с этим вопросом 30 лет билась. Но решение нашла, но не через SQL.

← →
KlGuy (2008-04-02 22:47) [119]

Бедлам какой-то. Спецъйалисты :). Куда мне там...

> Причем тут novell ?

Там есть решение нужное олегу :-). Каждая ветка может быть изолирована по уровню доступа, даже от самого верховного Админа.

А вот как сделано: регистрируешься на каком-нибудь сайте, Найти похожие ветки