[firebase-br] RES: RES: Segurança : criar um novo usuário realmente ajuda?
Eduardo Jedliczka
jedyfb em gmail.com
Qui Jun 18 11:58:23 -03 2009
se você usa o firebird 2.1, dá para criar uma trigger na conexão e
recusar conexões que não venham do seu aplicativo (ou de um usuário
específico para fazer manutenções) ou que partam do SYSDBA.
não é 100% seguro, mas irá evitar acessos suspeitos.
abraço
Eduardo
Em Qui, 2009-06-18 às 10:43 -0300, Felix escreveu:
> Marcelo,
>
> Sei que os dados informados são de propriedade do cliente, bem como a
> responsabilidade pelo acesso aos mesmos.
>
> O que eu gostaria era de propiciar uma maior segurança, impedindo que um
> operador mal intencionado pudesse alterar diretamente os registros, sem usar
> o aplicativo desenvolvido que contem as políticas sobre o que cada usuário
> pode ou não fazer.
>
> Não considero uma falha do FB em hipótese nenhuma. Esse tipo de abertura aos
> dados existe em bancos DBF (para quem já usou Clipper), paradox (via Delphi)
> etc etc.
>
> O FB dispõe de segurança através de um servidor dedicado que fique com
> acesso restrito, o que já é muito bom - mas não resolve o problema para o
> cenário onde o cliente tem 1 único micro rodando XP.
>
> Existe até a questão de um possível 'sumiço' do desenvolvedor - o cliente
> não perde sua base de dados, uma vez que outra empresa pode construir
> rotinas para importação do banco. Num travamento completo, com senha no
> .FDB, o cliente ficaria a mercê do criador, uma situação bastante
> complicada.
>
> Vou abrir um novo tópico para saber como descobrir se o usuário fizer uma
> alteração direta no banco.
>
> Obrigado, Felix.
>
> -----Mensagem original-----
> De: lista-bounces em firebase.com.br [mailto:lista-bounces em firebase.com.br] Em
> nome de Marcelo Geyer
> Enviada em: quinta-feira, 18 de junho de 2009 10:07
> Para: FireBase
> Assunto: Re: [firebase-br] RES: Segurança : criar um novo usuário realmente
> ajuda?
>
> O ponto "X" da questão é não se responsabilizar pelos dados. Isso tem que
> ficar muito bem claro no contrato. Você até pode implantar sistemas de alta
> disponibilidade, backup, etc... mas garantir o acesso às informações, isso
> não. Até porque a base de dados é do cliente, e não sua.
>
> Abraços,
>
Mais detalhes sobre a lista de discussão lista