[firebase-br] Brecha na Segurança no Firebird ???

Mario brujeria em task.com.br
Dom Mar 4 08:57:01 -03 2007


Exatamente!!!

A mais nova arquitetura de programação, Programação Orientada a
Arquitetura. Seria a tecnologia BPEL com webservices!

Foi exatamente isso que foi tratado na ultima paletra da oracle que fui
nesta quinta feira.

Usando servidores BSD ainda, putz 100% garantido!!

Internet é segura sim!!!
O problema na segurança é so para casos DESKTOP aonde o usuário não pode
alterar as informações do BD na "unha", mas sim somente usando o soft
desktop.

Valeu
Mario Mol

Em Sáb, 2007-03-03 às 22:26 -0300, Luiz Eduardo Oliveira Fonseca
escreveu:
> eu tbm acho q a net resolve um pouco, aki no serviço usamos 5 camadas no
> asp.net e no windowsforms, tudo via webservice, nem os programadores sabem a
> senha do banco, nem ninguem, e o servidor é um BSD, totalmente bloqueado, a
> nao ser q roubem a cpu, q é outra historia ... mas aki os webservices e a os
> ClassLibrary do .net resolveram o problema...
> 
> On 3/3/07, Mario <brujeria em task.com.br> wrote:
> >
> > Ola,
> >
> > o FB é seguro se vc usar um SO seguro com pessoas seguro!
> >
> > Isso é normal em qualquer área, e não será a internet q dexará seus
> > dados vuneráveis!
> >
> > Nao existe essa de dados seguros nao podem estar na internet, afinal,
> > você não acessa ao INternet Banking?
> >
> >
> > A verdade sobre a falha da segurança é:
> >         1. Você faz um software desktop no qual usa FB para coleta de
> > dados.
> >         2. Este software faz o upload dos dados para a Web quando está
> > conectado.
> >         3. Neste meio tempo entre por os dados na Web, o usuário poderia
> > acessar o Banco FB como embarcado e modificar os dados antes de enviar
> > para a Web.
> >
> >
> > Esta sim é a unica forma no qual NAO TEM SAIDA quando o BD nao tem
> > criptografia alguma.
> >
> > Todas as outras formas TÊM SAIDA, adotando politicas de segurança junto
> > com ferramentas.
> >
> > Valeu
> >
> > Mario Mol
> >
> >
> > Em Sex, 2007-03-02 às 21:20 +0000, Alberto Brito escreveu:
> > > Boas
> > >
> > >       Bem por aquilo que ja foi dito pouco mais deverá haver para
> > > acrescentar, mas vou deixar ca a minha opinao tambem.
> > >       Quanto ao administrador ter amigos e esses pedir favores etc...,
> > não
> > > acho isso muito ético, se ele não for um bom profissional então nao sera
> > > de todo um bom administrador portanto não servirá para o trabalho.
> > >       Em relação ao fulano descobrir a password de acesso ao banco para
> > o
> > > poder copiar, aí a coisa fica pior, pois nao sera apenas o banco a ficar
> > > em check mas sim todo o sistema.
> > >       Conclusão, como ja foi dito deveremos acionar todos os sistemas de
> > > segurança que o Firebird nos proporciona Aliases, Alterar a password do
> > > SYSDBA, bloquear acesso ao banco, etc.., depois de tudo certinho acho
> > > muito difícil mas muito difícil mesmo alguem contornar a segurança.
> > >
> > >       Claro que nao vamos voltar ao mesmo o Administrador tem amigos
> > etc..,
> > > se assim for vamos ficar aqui eternamente,porque voltamos sempre ao
> > mesmo.
> > >
> > >       No meu caso Uso Opensuse 10 64 bits nos servidores as passwords de
> > > acesso ao servidor como o root e outros que tenham privilegios de
> > > administração ficam comigo e nem sequer são entregues aos clientes,
> > > ou seja ali só eu mecho e mais ninguém.
> > >
> > >       Gostaria de ver alguem a tentar fuçar um servidor meu para ver se
> > > conseguia alguma coisa.
> > >
> > >       É tudo muito bonito quando se sabe a password e tem acesso directo
> > ao
> > > banco, fora isso, aqui ponho um desafio.
> > >
> > >       Posso disponiblizar um servidor na net para quem quiser tentar
> > aceder a
> > > um dos meus bancos, se alguem quiser tentar que poste aqui.
> > >
> > >       Obrigado a todos por me deixarem expressar a minha opinião.
> > >
> > >
> > > Alberto Brito
> > >
> > > Denis Pereira Raymundo escreveu:
> > > >     A segurança do firebird diz que devemos proteger o local onde o
> > banco de dados está. Até aí tudo bem. Fazendo testes, vi que o firebird não
> > aceita fazer um backup de um disco para o outro, ótimo. Mas percebi uma
> > coisa que parece ser uma brecha a isso:
> > > >
> > > >     Mesmo se eu não possuir acesso físico ao banco, mas possuir
> > direito de acesso a alguma pasta nesse servidor e souber a senha do SYSDBA,
> > posso fazer um backup para a minha pasta e aí blau blau...
> > > >
> > > >     Denis Pereira Raymundo
> > > > ______________________________________________
> > > > FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> > > > Para editar sua configuração na lista, use o endereço
> > http://mail.firebase.com.br/mailman/listinfo/lista_firebase.com.br
> > > > Para consultar mensagens antigas: http://firebase.com.br/pesquisa
> > > >
> > >
> > >
> > > ______________________________________________
> > > FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> > > Para editar sua configuração na lista, use o endereço
> > http://mail.firebase.com.br/mailman/listinfo/lista_firebase.com.br
> > > Para consultar mensagens antigas: http://firebase.com.br/pesquisa
> >
> >
> > ______________________________________________
> > FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> > Para editar sua configuração na lista, use o endereço
> > http://mail.firebase.com.br/mailman/listinfo/lista_firebase.com.br
> > Para consultar mensagens antigas: http://firebase.com.br/pesquisa
> >
> 
> 
> 





Mais detalhes sobre a lista de discussão lista