Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Разработка информационных систем Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2 3 4 5 6 7 8 9 10 .. 16   вперед  Ctrl
 Двузвенка - как прячете пароли?  [new]
alex55555
Member

Откуда:
Сообщений: 2128
В контексте минусов десктопа вспомнилась необходимость как-то логиниться к базе. То есть второе звено, оно же десктоп, напрямую стучится к первому звену, оно же база. И как ему стучаться, если нет юзера/пароля? Поэтому юзер хранится где-то в коде или в настройках или ещё где. Но это, безусловно, до первого начинающего хакера. Выход здесь в создании третьего звена (сервер приложений), но фанаты двузвенки могут иметь своё мнение.

Поэтому вопрос разработчикам двузвенок - вы как в своих творениях пароли храните?
13 апр 19, 20:28    [21861254]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
miksoft
Member

Откуда:
Сообщений: 37832
alex55555
вы как в своих творениях пароли храните?
В головах пользователей.
13 апр 19, 23:14    [21861380]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
alex55555
Member

Откуда:
Сообщений: 2128
miksoft
alex55555
вы как в своих творениях пароли храните?
В головах пользователей.

То есть юзер напрямую цепляется к базе и уносит домой список клиентов, или правит этот список апдейтом, ну или ещё чего недозволенное делает?
13 апр 19, 23:18    [21861382]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
miksoft
Member

Откуда:
Сообщений: 37832
alex55555
miksoft
пропущено...
В головах пользователей.

То есть юзер напрямую цепляется к базе и уносит домой список клиентов, или правит этот список апдейтом, ну или ещё чего недозволенное делает?
Если у него есть полномочия этот список видеть, то он и в учетной программе его нормально увидит без всякого "напрямую цепляется к базе". Если нет - не увидит ни так, ни эдак.
13 апр 19, 23:23    [21861383]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
Критик
Member

Откуда: Москва / Калуга
Сообщений: 32486
Блог
alex55555,

Win-авторизация не решит ооблемы отца русской демократии?
13 апр 19, 23:40    [21861394]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
ВМоисеев
Member

Откуда: Редкино
Сообщений: 2008
>alex55555, вчера, 20:28 [21861254]
>...Поэтому вопрос разработчикам…
<Думаю, что вопрос несколько шире - как хранить настройки клиентского приложения. Экспериментирую с вариантом хранения файла настроек в криптоконтейнере - при старте файл настройки достаём из контейнера (по паролю клиента), получаем параметры и уничтожаем файл настройки.
14 апр 19, 12:02    [21861514]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
полудух
Member

Откуда: планета орков, г.Зверополис
Сообщений: 944
если хукер завладел компом жертвы, то кто же тут виноват?
ну конечно же Intel.

alex55555
вы как в своих творениях пароли храните?

в шифрованном виде.
14 апр 19, 13:20    [21861539]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
alex55555
Member

Откуда:
Сообщений: 2128
miksoft
Если у него есть полномочия этот список видеть, то он и в учетной программе его нормально увидит без всякого "напрямую цепляется к базе". Если нет - не увидит ни так, ни эдак.

Ох уж мне этот детский сад...

Покупателям софта очень часто впаривают "гибкое и безопасное" решение. Типа можно потыкав всякие галочки гибко настроить права для любого юзера. И бизнес покупается, потому что не хочет, что бы секретутка на ресепшене сливала конкурентам всю инфу по клиентам. И вот настроил бизнес доступ для девочки, а пароль miksoft ей дал напрямую к базе, и...

Девочка запускает стороннюю тулзу и тупо селектом сливает всю тысячу столь важных для данного бизнеса клиентов. miksoft, если ты когда-нибудь продавал программное решение, то ты знаешь, как дорого стоит получить инфу по 1000 клиентов, готовых купить твой продукт. Но ты не знаешь, как защитить бизнес от подобных атак.

ЗЫ. Девочке максимум дают право поиска по фамилии, что бы сказать "здравствуйте Иван Иванович, пройдите в кабинет 48". А ты ей дал все возможности для слива всех клиентов за 5 минут.
14 апр 19, 13:22    [21861540]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
alex55555
Member

Откуда:
Сообщений: 2128
Критик
Win-авторизация не решит ооблемы отца русской демократии?

Как вин-юзер конвертируется в бд-юзера?
14 апр 19, 13:24    [21861541]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
alex55555
Member

Откуда:
Сообщений: 2128
ВМоисеев
Думаю, что вопрос несколько шире - как хранить настройки клиентского приложения. Экспериментирую с вариантом хранения файла настроек в криптоконтейнере - при старте файл настройки достаём из контейнера (по паролю клиента), получаем параметры и уничтожаем файл настройки.

Настройки хранят в базе, а доступ к ним ограничивается тем же способом, что и ко всей остальной информации. Для трёхзвенки - тривиально. Для двузвенки - пока не вижу решений.
14 апр 19, 13:27    [21861543]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
alex55555
Member

Откуда:
Сообщений: 2128
полудух
в шифрованном виде.

Слыхал, сколько времени нужно, что бы взломать недавно появившуюся популярную игрушку? Подскажу - день.
14 апр 19, 13:28    [21861544]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 48645
alex55555
И вот настроил бизнес доступ для девочки, а пароль miksoft ей дал напрямую к базе, и...

И получает ошибку "недостаточно прав для чтения", поскольку понятия не имеет как указать роль, которая ей настроена.
14 апр 19, 14:16    [21861557]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
ВМоисеев
Member

Откуда: Редкино
Сообщений: 2008
>alex55555, сегодня, 13:27 [21861543]
>...Для трёхзвенки - тривиально…
<Не понимаю, а в чем сложность для двухзвенки?
14 апр 19, 14:34    [21861564]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
alex55555
Member

Откуда:
Сообщений: 2128
Dimitry Sibiryakov
alex55555
И вот настроил бизнес доступ для девочки, а пароль miksoft ей дал напрямую к базе, и...

И получает ошибку "недостаточно прав для чтения", поскольку понятия не имеет как указать роль, которая ей настроена.

В БД есть юзер и его права. Какие ещё роли нужны?
14 апр 19, 16:08    [21861610]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
Arm79
Member

Откуда: МО, Раменское
Сообщений: 3670
alex55555
Критик
Win-авторизация не решит ооблемы отца русской демократии?

Как вин-юзер конвертируется в бд-юзера?

Не нужно путать

через Win - аутентификация.
в БД - авторизация.

Спокойно в БД указываем полномочия для win-пользователя, и никаких заморочек с хранением паролей
14 апр 19, 16:09    [21861611]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
ViPRos
Member

Откуда:
Сообщений: 9631
alex55555,

тут много таких как ты, которые плавают в вопросе, но учат жить:)
14 апр 19, 16:49    [21861625]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
alex55555
Member

Откуда:
Сообщений: 2128
Arm79
через Win - аутентификация.
в БД - авторизация.

Спокойно в БД указываем полномочия для win-пользователя, и никаких заморочек с хранением паролей

Сам по себе пароль не интересен. Интереснее, если утекут важные данные. Хотя да, формально - это ответ на вопрос в теме. Но он не показывает, как гибко ограничить доступ к БД.
14 апр 19, 18:17    [21861664]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
alex55555
Member

Откуда:
Сообщений: 2128
ViPRos
тут много таких как ты, которые плавают в вопросе, но учат жить:)

Ну так научи меня, как же ты в вопросе "не плаваешь"? :)
14 апр 19, 18:18    [21861665]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
Roman Mejtes
Member

Откуда: г. Пермь
Сообщений: 3564
в хранилище windows
14 апр 19, 18:39    [21861668]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
cav_inc
Member

Откуда: г. Кемерово
Сообщений: 123
Если девочка видит на экране информацию и ей вдруг понадобилось слить инфу конкурентам
то абсолютно не важно есть ли у нее прямой доступ к базе или нет. У нее есть телефон с камерой и какой либо вчатик.... и шифруй не шифруй все равно получишь.....
14 апр 19, 19:09    [21861680]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
полудух
Member

Откуда: планета орков, г.Зверополис
Сообщений: 944
ViPRos
alex55555,

тут много таких как ты, которые плавают в вопросе, но учат жить:)

он тут такой один
засрал весь форум своим идиотским флудом
а модеры даже не чешутся Картинка с другого сайта.
14 апр 19, 19:10    [21861681]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
Arm79
Member

Откуда: МО, Раменское
Сообщений: 3670
alex55555
Arm79
через Win - аутентификация.
в БД - авторизация.

Спокойно в БД указываем полномочия для win-пользователя, и никаких заморочек с хранением паролей

Сам по себе пароль не интересен. Интереснее, если утекут важные данные. Хотя да, формально - это ответ на вопрос в теме. Но он не показывает, как гибко ограничить доступ к БД.

Зачем дополнительно ограничивать доступ к информации более, чем установлено настройками в самой БД? Кажется, что доступ по ролевой модели более чем гибок. Не идеально, конечно, но если речь о 2звенке, то 99% потребностей удовлетворит.
14 апр 19, 19:35    [21861687]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
Siemargl
Member

Откуда: 010100
Сообщений: 6322
alex55555,

предлагаю забанить

а еще дополнительно, пароль к программе может быть сгенерированным паролем от БД

и еще учебники можно читать
14 апр 19, 19:40    [21861688]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
alex55555
Member

Откуда:
Сообщений: 2128
Arm79
Зачем дополнительно ограничивать доступ к информации более, чем установлено настройками в самой БД?

Потому что бизнес хочет. Если девочка видит только ФИО, то для слива информация бесполезна. И вот так надо настроить для двух девочек, но для одной ФИО, а для другой Ф и год рождения. И всё это галочками, что бы сам бизнес настраивал.

Слабо? А на трёхзвенке - ноль проблем.
Arm79
Кажется, что доступ по ролевой модели более чем гибок. Не идеально, конечно, но если речь о 2звенке, то 99% потребностей удовлетворит.

Вот именно, что не все проценты. И 99 здесь - явно завышенная оценка. При чём ролевую модель нужно как-то поддерживать, но как? БД такой ерундой не занимается, там строго юзер и его права.

Теоретически есть вариант всё (то есть абсолютно) писать в хранимках, но это же адский ад и израиль в одном флаконе! Плюс ещё уметь эту хрень правильно в БД настроить, что тоже не всегда тривиально. В итоге - адская сложность ради потакания лени изучить веб-технологии, ну или на худой конец без веба почитать про сервер приложений для десктопного клиента.
14 апр 19, 21:07    [21861731]     Ответить | Цитировать Сообщить модератору
 Re: Двузвенка - как прячете пароли?  [new]
L_argo
Member

Откуда:
Сообщений: 1013
alex55555
Для двузвенки - пока не вижу решений.
Исключить доступ к критичным таблицам напрямую.
Оставить доступ только через ХП. Внутри ХП тоже можно серьезно усложнить жизнь для желающих получить больше инфы, чем положено.
Немного неудобно, но вполне реально.
Не серебряная пуля конеш, но большинство покушений на инфу сможет отразить.
14 апр 19, 21:47    [21861756]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2 3 4 5 6 7 8 9 10 .. 16   вперед  Ctrl
Все форумы / Разработка информационных систем Ответить