[firebase-br] Senado do Usuário Sysdba
Gladiston Santana
gladiston em vidy.com.br
Qui Jul 6 11:28:09 -03 2017
Aqui, cada usuário tem sua própria senha.
A do sysdba é usada para criar as outras, via interface grafica que além de
criar, tem uma tela que concede/revoga acesso a modulos.
Realmente isso traz vantagens e desvantagens, a vantagem é que um usuario
tem o poder de usar outros programas como um gerador de relatórios e criar
seu próprio relatório com programas de terceiros. A desvantagem é conceder
permissões individuais a tabelas, procedures,... que geralmente requer um
usuario que saiba o que está fazendo. Nesse método, quando um usuário é
criado, automaticamente ele tem grant de select a todas as tabelas e como a
escrita é sempre feita por procedures, ao indicar o modulo que terá acesso,
os grants as procedures vão sendo concedidas ou revogadas. A desvantagem
como eu disse é que requer um usuario que saiba o que está fazendo e outra
é a complexidade na programação tendo que criar telas de acesso a modulos
onde sabemos, 99% vai ter acesso a tudo.
Compartilhar um sysdba com todos dá até arrepios, no seu caso por exemplo,
posso destruir dados com o isql ou que o valha, até com o excel, mas
entendo que esse método torna as coisas bem mais faceis para programar e
descomplica para o usuário final.
Na nossa próxima versão, queremos algo dos dois mundos, uma camada de
segurança justificada contra acesso a terceiros e simplificando as
permissões. Em desenvolvimento, estamos avaliando que todos os usuários
usem uma role que lhe dá acesso a tudo, a senha é genérica e não é humana,
isto é, com caracteres que dificilmente poderiam ser digitados via teclado.
Ao iniciar o sistema, o mesmo autentica-se usando o usuário que logou-se no
windows com a role_pode_tudo e a senha genérica. Parece promissor e nos
meus testes por enquanto vai bem. Eu tinha pensado nisso antes, mas o FB2
tinha restrição para o tamanho de senha, tanto que 'masterkey' é lenda,
'masterke' é o que funciona. No FB3+ sanaram esse problema.
inte+
Em 5 de julho de 2017 14:45, Frederico Godoi <frederico.godoi em gmail.com>
escreveu:
> Olá, boa tarde.
>
> Gostaria de pedir uma ajuda da Lista com uma demanda que estou
> enfrentando no meu sistema. Hoje adotamos um padrão de usarmos o usuário
> sysdba para conectar no banco de dados e definimos as regras de acesso via
> aplicação, tudo certo.
> Somos nós que definimos essa senha e configuramos na instalação do
> sistema nas empresas.
> O fato é que não somos nós que mantemos os servidores de banco de dados,
> portanto essa senha está sendo divulgada demais, inclusive dentro das
> empresas, fazendo com que alguma queiram trocar essa senha do Sysdba.
>
> Podem compartilhar a experiência de vocês?
> Deixo livre o Sydba e crio sempre um usuário próprio?
> Deixo a empresa configurar a senha deles e me conecto de outra forma?
> O que sugerem ?
>
> É um sistema em Delphi, usando FIBPlus, conexão Client-Server
> persistente.
>
> Obrigado,
Mais detalhes sobre a lista de discussão lista