Текущий архив: 2007.03.18;
Скачать: CL | DM;
Вниз
Безопасность в FB Найти похожие ветки
← →
dmdel © (2007-02-21 17:44) [0]Еще раз здрасте.
Возник вопрос по безопасности FB1.5.
Любой пользователь даже без прав может с помощью IBExpert-а изменять значения генераторов, просматривать данные системных таблиц, структуру базы данных, просматривать код хранимых процедур и т.д.
Как то можно это запретить?
← →
DrPass © (2007-02-21 18:10) [1]
> Как то можно это запретить?
Ну, можешь забрать у public права на системные таблицы, и повыдавать их только тем юзерам, которым положено. Вопрос только в том, нафиг. Видит пользователь структуру базы данных, ну и чё? В любой СУБД это по умолчанию возможно, и никто не комплексует :)
← →
dmdel © (2007-02-21 18:24) [2]
> Видит пользователь структуру базы данных, ну и чё?
Кроме этого он может поменять значения генераторов!!! А это уже ..., а не безопасность.
← →
Sergey13 © (2007-02-22 08:30) [3]> [0] dmdel © (21.02.07 17:44)
Безопасность ФБ = безопасности на машине, на которой установлен сервер. Если БД стоит на компе секретарши, то... ну ты понял.
← →
dmdel © (2007-02-22 10:30) [4]
> Sergey13 © (22.02.07 08:30) [3]
Сервер стоит на сервере в отдельной комнате, доступа к нему нет.
Но все равно пользователь может подключится и к удаленной базе через IBExpert и наделать там делов.
← →
Sergey13 © (2007-02-22 10:37) [5]> [4] dmdel © (22.02.07 10:30)
Пользователь может наделать делов только в пределах выданных ему тобой (?) прав. И пофиг чем - ИБЭкспертом или твоей прогой.
← →
ЮЮ © (2007-02-22 10:38) [6]
> Кроме этого он может поменять значения генераторов!!!
А ты в них секретную информацию хранишь? Пора уже к таблицам переходить :)
← →
dmdel © (2007-02-22 10:41) [7]
> Sergey13 © (22.02.07 10:37) [5]
Как можно раздать права на изменения генераторов?
← →
Sergey13 © (2007-02-22 10:42) [8]> [7] dmdel © (22.02.07 10:41)
Ты сначала скажи - у тебя пользователи под каким логином конектятся к базе? Не sysdba случайно?
← →
dmdel © (2007-02-22 10:55) [9]
> Sergey13 © (22.02.07 10:42) [8]
Никак нет. У каждого свой Login, пароль и свои роли. Конечно все работают через приложение. Но вдруг найдется какой-нибудь умник и присоединится к удаленной базе с помощью IBExpert-а под своим логином...
Поясню. Предположим я создаю какого то пользователя через IBExpert ни указывая роли и не раздавая никаких прав, а потом свободно соединяюсь с базой данных под этим логином и меняю значения генераторов.
← →
Sergey13 © (2007-02-22 10:59) [10]> [9] dmdel © (22.02.07 10:55)
> Предположим я создаю какого то пользователя через IBExpert
> ни указывая роли и не раздавая никаких прав, а потом свободно
> соединяюсь с базой данных под этим логином и меняю значения
> генераторов.
Предположения были подтверждены в ходе экспериментов?
← →
ЮЮ © (2007-02-22 11:01) [11]Во-во, истощат генераторы до последнего значения.
MS IDENTITY Forever !!! Там хоть ворогам придется потрудится - записи вставлять.
З.Ы. А не боишься, что они ещё и записей в таблицы понавставляют?
← →
dmdel © (2007-02-22 11:04) [12]
> Sergey13 © (22.02.07 10:59) [10]
Только что проверил. Да!
> Во-во, истощат генераторы до последнего значения.
При чем тут истощат? Поставят все генераторы в 0, и что потом делать?
> З.Ы. А не боишься, что они ещё и записей в таблицы понавставляют?
На это у каждого свои права, не так ли?
← →
unknown © (2007-02-22 11:06) [13]
> dmdel © (22.02.07 11:04) [12]
Если все так плохо, то придется делать 3-х звенку.
← →
ЮЮ © (2007-02-22 11:11) [14]> При чем тут истощат? Поставят все генераторы в 0, и что
> потом делать?
Поставишь нужные значения. Затребуешь повышения бюджета для повышения безопасности. Введешь службу наблюдения за значениями генераторов.
← →
dmdel © (2007-02-22 11:12) [15]
> unknown ©
> Sergey13 ©
> ЮЮ ©
У Вас есть проекты на FB 1.5? Как Вы с этим боретесть?
← →
Desdechado © (2007-02-22 11:14) [16]> Предположим я создаю какого то пользователя через IBExpert
> ни указывая роли и не раздавая никаких прав, а потом свободно
> соединяюсь с базой данных под этим логином и меняю значения
> генераторов.
Для создания пользователя нужно иметь соответствующие права.
Если пользователя или прав нет, то нельзя создать другого пользователя.
Так же, как и выдать самому себе новые права.
← →
ЮЮ © (2007-02-22 11:15) [17]dmdel © (22.02.07 11:12) [15]
Меня отшили. Ну и ладно.
← →
Johnmen © (2007-02-22 11:19) [18]
> dmdel © (22.02.07 10:55) [9]
Ерунда написана.
1. Если умник не зарегистрирован на сервере, то он никуда не присоединиться.
2. Если умник знает логин SYSDBA, то он не знает пароля.
3. Если умник имеет физ.доступ к серверу, то о безопасности лучше вообще не говорить.
← →
dmdel © (2007-02-22 11:21) [19]
> Desdechado © (22.02.07 11:14) [16]
А как быть с теми пользователями, которые уже есть?
> dmdel © (22.02.07 10:55) [9]
Это просто привел пример.
← →
ЮЮ © (2007-02-22 11:21) [20]
> Desdechado © (22.02.07 11:14) [16]
Речь не об администрированиии.
Есть пользователь с минимальными правами для работы на клиентском ПО с некоторыми таблицами.
Он ставит IBExpert и коннектится к БД с тем же логином. И получает бесконтрольный доступ к святая святых безопасности - значениям всех генераторов БД. Он их обнуляет и ставит на уши всех пользователей этой БД
← →
unknown © (2007-02-22 11:25) [21]Я же говорю - третье звено надо, если всякие отморозки могут генераторы
попортить.
← →
dmdel © (2007-02-22 11:32) [22]Уф, жаркая дискуссия:)
> И получает бесконтрольный доступ к святая святых безопасности
> - значениям всех генераторов БД.
Я этого не говорил.
Но согласитесь,что это важно...
> dmdel © (22.02.07 11:12) [15]
У кого есть такие проекты ответьте на вопрос
← →
unknown © (2007-02-22 11:36) [23]
> dmdel © (22.02.07 11:32) [22]
>
> У кого есть такие проекты
Какие такие ?
← →
dmdel © (2007-02-22 11:38) [24]
> unknown © (22.02.07 11:36) [23]
см. > dmdel © (22.02.07 11:12) [15]
← →
Johnmen © (2007-02-22 11:39) [25]
> dmdel © (22.02.07 11:21) [19]
> Это просто привел пример.
Пример чего?
← →
unknown © (2007-02-22 11:49) [26]
> dmdel © (22.02.07 11:38) [24]
Есть.
← →
Sergey13 © (2007-02-22 12:02) [27]Действительно. Сейчас попробовал новым юзером менять генератор - получилось. Так же получилось поменять домен.
Не особо критично конечно, но неприятно.
← →
unknown © (2007-02-22 12:03) [28]Надо в ,баг-треккер фб пожаловаться. Коллективно.
← →
dmdel © (2007-02-22 12:07) [29]
> Sergey13 © (22.02.07 12:02) [27]
На конец-то меня начинают понимать:)
← →
unknown © (2007-02-22 12:39) [30]http://tracker.firebirdsql.org/browse/CORE-1141
← →
Desdechado © (2007-02-22 12:42) [31]> Надо в ,баг-треккер фб пожаловаться. Коллективно.
Ок. Начинай, я подпишусь.
Только убедись, что в двушке ситуация та же.
← →
Desdechado © (2007-02-22 12:44) [32]автору
Я обычно не даю пользователю реальных логинов-паролей. Даю логины-пароли в программу, которые хитрым алгоритмом перекодируются в реальные.
← →
dmdel © (2007-02-22 15:21) [33]
> Desdechado © (22.02.07 12:44) [32]
Хорошая идея, спасибо.
← →
dmdel © (2007-02-22 15:36) [34]
> Sergey13 © (22.02.07 12:02) [27]
> Действительно. Сейчас попробовал новым юзером менять генератор
> - получилось. Так же получилось поменять домен.
На счет доменов. Если домен используется в какой либо таблице и пользователь не является создателем этой таблицы, то домен понять не получится.
← →
Sergey13 © (2007-02-22 15:40) [35]> [34] dmdel © (22.02.07 15:36)
Возможно. Я новый создавал/менял/удалял.
Страницы: 1 вся ветка
Текущий архив: 2007.03.18;
Скачать: CL | DM;
Память: 0.55 MB
Время: 0.046 c
