Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Сравнение СУБД Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 2 3 4 [5] 6 7 8 9 10 .. 20   вперед  Ctrl
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
c127
Guest
2 AAron
>>К тому же нормальному SQL серверу оптимизировать SQL запросы гораздо легче, чем код SP, поэтому запросы обычно выполняются быстрее. ИМХО
>Я думаю, что разница между временем компиляции запроса с использованием вью и временем компиляции с использованием процедуры практически одинакова ...

Речь идет о времени выполнения, время компиляция тут ни при чем.

2 alexeyvg
>А по моему, в вашей команде просто никто не имел серьёзного опыта работы (разрабротки) с MSSQL.

Все правильно, не было серьезного опыта, я об этом говорил раньше. Точнее опыт работы с MSSQL был примерно равен опыту работы с ораклом - один год. Только вот на оракле все заработало после краткого чтения документации а в MSSQL - не заработало вообще. Пример с представлениями я на оракле не прогонял, но думаю, что проблем тоже не было бы.

>Разумеется, для MSSQL разработка другая, чем для оракла, другая идеология, другая архитектура приложения.

Абсолютно не согласен. Зачем же тогда Дейт и пр. книжки пишут и зачем Кодд разрабатывал свои постулаты? Лучшие книги по разработке схем БД написаны безотносительно к конкретному SQL серверу. Есть общие принципы разработки реляционных БД и все в основном везде одинаково. Есть ньюансы, их нужно изучить, но это не сложно. Даже опытные ДБА с практическим опытом в нескольких SQL серверах утверждают что все везде одинаково, только ньюансов больше, что же говорить о программистах.

>Неужели вы думаете, что группа людей, увидевших Oracle в первый раз в жизни, сможет сделать большое, сложное приложение, расчитанное на большие объемы данных и работу тысяч пользователей, и ни разу не наткнётся на что-то нехорошее?
>Неужели для разработки под Oracle требования к квалификации разработчиков настолько ниже??? Типа, ляпнул таблиц в дизайнере, если начальство прибежало - сделал alter table, если надо, и всё готово! А он сам соптимизирует.

Опыт разработки необходим, с этим никто не спорит.

>Странно. Я всё время слышал наоборот.

Вот именно, что это всего-лишь устоявшаяся легенда и ничего больше. Разработчику с опытом в других РСУБД с начать (и успешно продолжать) программировать в оракле несравнимо легче, чем в MSSQL. Проверил на себе и коллегах.

SergSuper

>Вообще-то логины и пароли храняться в таблице syslogins, в sysusers хранятся логины тех, кто является пользователем текущей БД.

Возможно, что это syslogins, большой разницы нет. Эта та таблица, к которой каждый юзер имеет select привелегию, посмотрите в документации какая именно. Главное что такая таблица есть и каждый юзер может посмотреть ее содержание. К полному списку баз данных тоже есть доступ у всех.

>В syslogins от 4-й версии пароли хранились открытым текстом(привет разработчикам от Sybase), ну и соответственно доступа к полю с паролем у обычных юзеров не было - тогда бы каждый мог узнать любой пароль. Начиная с 6-й версии храниться хэш паролей, но доступа к нему у обычных юзеров всё равно нет.

А по-моему хеш тоже виден в 6.5, хотя я не уверен на все 100, давно с ним не работал.

>Обычно списки юзеров, групп, баз данных (имя действительно sysdatabases) доступны для чтения пользователям, собственно ничего в них такого нет, что поможет взлому, но в принципе можно и запретить любой доступ(хотя я не пробовал, на 100% не уверен)

Да в том то и дело, что нельзя закрыть доступ на чтение, это эквивалентно запрещению логина.

А насчет того, что ничего такого в ней нет - вот тебе близкий пример: попробуй пойти в свой банк и попросить список его клиентов (даже без адресов, телефонов и поаролей) на том основании, что ты клиент этого банка. Послушай, что тебе скажут, потом расскажешь. Правило не светить такие списки кому попало возникло не на пустом месте. Юзер вообще не должен никогда видеть ничего, что его непосредственно не касается. Это общее базовое правило любой системы безопастности, не только программной.
А тут ему показывают полный список пользователей и БД, да еще со служебной информацией. И главное - с этим ничего нельзя сделать. Только этого одного уже достаточно, чтоб исключить MSSQL из списка претендентов на защищенную и надежную систему.
11 дек 03, 03:07    [456110]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
s79
Member

Откуда: Владивосток
Сообщений: 40
AAron
,большинство пунктов мне показалось либо "надуманными", либо автор просто не знал о таких возможностях SQL Server
Например, 6.d In Sql server, there is no ability to read/write from external files from a stored procedure. Oracle has this ability
А кто мешает использовать XP?]

Собственно говорилось о том что в Oracle есть стандартное средство for
read/write from external files.
AAron
я имею ввиду что любой файл может быть открыт на C++, никто не мешает создать и использовать расширенные хранимые процедуры

Oracle тоже позволяет создавать и использовать расширенные хранимые процедуры.
Но претензия была про наличие штатного средства. А его нет.
Хотя можно извратится: 1)xp_ 2)bulk insert во временную таблицу и т.д.

ppp
Na chet vtaroj ssilki - ti ne prav, muzik tam gramotnij, Oracle znaet horaho, tolko vot uz ochenj on emu protiven )))

По мне он не знает Oracle или сильно передергивает
Это можно сказать по тому коду который он на cвоей странице приводит для сравненния Oracle с Synbase. Код Oracle настолько неправильно и некрасиво написан что ужас. (если интерестно могу развить эту тему, просто разобрав часть кода).
Или он просто демонстрировал как перенос подхода к языку одной БД на язык другой БД может угробить проект.

ppp если можно прокомментирe пункт 9 этой статьи и с примерами на Synbase. А то я несколько не понял что имелось ввиду

И вообще там в статьях столько двойных стандартов, что диву даешся
11 дек 03, 07:33    [456164]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
AAron
Member

Откуда: Москва
Сообщений: 4324
s79
Собственно говорилось о том что в Oracle есть стандартное средство for
read/write from external files.

А кто мешает использовать DTS?... Если речь о том, что нельзя сделать принципиально, то автор явно заблуждается. Если же речь идет о том, что по-другому, я Вам не привычно, то это не проблемы сервера.
11 дек 03, 10:26    [456421]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
Я и ёжик
Member

Откуда: СПб
Сообщений: 1815
2 c127
автор

>Разумеется, для MSSQL разработка другая, чем для оракла, другая идеология, другая архитектура приложения.
Абсолютно не согласен. Зачем же тогда Дейт и пр. книжки пишут и зачем Кодд разрабатывал свои постулаты? Лучшие книги по разработке схем БД написаны безотносительно к конкретному SQL серверу. Есть общие принципы разработки реляционных БД и все в основном везде одинаково.

Другая идеалогия и другая архитектура приложения на разных серверах связаны в основном не с "разработкой схем БД", а с разными механизмами обеспечения паралельной работы, будь то версионность, блокирование или гибридные схемы. Причем даже на "однотипных" серверах, уровни изоляции, одинаково называемые, часто различаются по реализации и последствиям использования.
11 дек 03, 10:40    [456457]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
SergSuper
Member

Откуда: SPb
Сообщений: 5488
2 c127
Ну почему я прежде чем что-то написать проверяю, а тебе можно спокойно вешать всякие обвинения не задумываясь? Может не будем больше ерунду писать, ну не первый раз уже?

Итак
Да в том то и дело, что нельзя закрыть доступ на чтение, это эквивалентно запрещению логина.
МОЖНО. Я проверил. На 6.5 проверять не буду, но уверен что и там можно, как и на 4-ке.

Теперь насчет того почему открыт по умолчанию список логинов. Это еще и alexeyvg спрашивал.
Извините, а почему он открыт в самой Windows? Ну хорошо, в MS дураки сидят, но вот у меня Новель стоит и там тоже есть список логинов. И даже список серверов. Тоже исключить из списка претендентов на защищенную и надежную систему?
Ну подумайте сами - я сделал какую-то табличку, мне надо дать на неё права. Как я дам на неё права если я не знаю какие пользователи есть в базе?

Была еще такая душещипательная аналогия с клиентами банка. Вобще-то аналогия не есть доказательство. Могу привести другую аналогию: у нас на фирме есть список всех сотрудников и каждый имеет к нему доступ(хотя бы что б почту послать). Глупо было бы если б его не было.
11 дек 03, 11:42    [456654]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
Gt.
Guest
мда логика железная :) хотя и не в стиле МС ...

вообще должна быть роль dba он все знает. юзер может спросить у него.
зная логин в глупой апликации подобрать пароль вопрос только времени ...
11 дек 03, 17:16    [457509]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
aag
Member

Откуда: Москва
Сообщений: 1955
зная логин в глупой апликации подобрать пароль вопрос только времени ???
Ну вот мой логин, например, aag. И даже на сервере такой. И как вы подберете мой пароль?

Странная у вас логика, честно слово...



Nobody faults but mine... (LZ)
11 дек 03, 18:06    [457587]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
Gt.
Guest
как и в 90% взломах.
например здесь - пароль не блокируется, т.е. можно подбирать пока админ не зашевелится.
берется хороший канал, словарь коих в инете навалом и вперед ... 95% юзерских паролей - из словаря, 30% вообще под клавиатурой
11 дек 03, 18:17    [457601]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
tygra
Member

Откуда: Тверь (Иркутск, Край)
Сообщений: 9997
Ну дык если учесть, что не менее 50% логинов состоят из Фамилии И.О., то получается, что можно везде все подобрать и без прав на чтение sysusers. Только что-то никто нигде не страдает.

-- Tygra's --
11 дек 03, 18:31    [457624]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
SergSuper
Member

Откуда: SPb
Сообщений: 5488
зная логин в глупой апликации подобрать пароль вопрос только времени
Весьма распространённое заблуждение, которое очень просто опровергнуть.

Если можно легко подобрать пароль - почему так же легко не подобрать логин?
Скрытие логина по сути это просто удлиннение пароля.
11 дек 03, 18:38    [457634]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
Gt.
Guest
1. потому что логин выдает админ, а он умный, он знает про словарик.
2. 6-значный пароль перебирается за часы, 7 дни, 8 - хз, если б не словарик то 8 значный подобрать не реально.

так чо на тему забили ? или в кулхакеры перепрофилируемся, какая разница по какому поводу флеймить :) ?
12 дек 03, 11:59    [458004]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 32169
2Gt.
1. логин легче подобрать из словаря, всё-таки обычно стандартный логин - что-то из фамилии и имени

2. Обычно стандартная схема для пароля - он должен состоять из:
- длинна не менее 8 символов
- большие и маленькие буквы
- цифры
- спецсимволы
Все созданные пароли проверяются на подбор.
Все пароли периодически меняются (скажем, раз в месяц).

Это простые и не требующие трудозатрат действия, сильно затрудняющие подбор пароля.
12 дек 03, 12:45    [458049]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
Lepsik
Member

Откуда: glubinka
Сообщений: 4257
2Gt.

любой нормальный админ забанит ip при такой активности уже через полчаса.
12 дек 03, 18:26    [458361]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
c127
Guest
SergSuper

>Ну почему я прежде чем что-то написать проверяю, а тебе можно спокойно вешать всякие обвинения не задумываясь? Может не будем больше ерунду писать, ну не первый раз уже?

>МОЖНО. Я проверил. На 6.5 проверять не буду, но уверен что и там можно, как и на 4-ке.

Нельзя. По крайней мере так было написано в документации по MSSQL 6.5, я в данном случае мелкоософту верю, он на себя наговаривать зря не станет. В документации по 7.x я такого уже не нашел. Косвенное подтверждение: в конторе, где у нашей компании был хостинг (MSSQL6.5) все было открыто и можно было узнать не только списки всех пользователей, но и кто в какой БД работает и еще кучу всего интересного - все в полном соответсвии с документацией. Контора была не из самых дешевых.

>Была еще такая душещипательная аналогия с клиентами банка. Вобще-то аналогия не есть доказательство.

А я и не говорил, что это доказательство. Я сказал, что это общепринятая практика в системах, где о безопастности принято задумываться. Как классический пример привел банк. По-моему удачный пример.


>Могу привести другую аналогию: у нас на фирме есть список всех сотрудников и каждый имеет к нему доступ(хотя бы что б почту послать). Глупо было бы если б его не было.

Не в тему аналогия. Тебе список нужен для работы: "(хотя бы что б почту послать)".

2 ALL.

Речь не о том, чтобы зная всю информацию о человеке угадать его логин, это наверное не сложно, а о том, чтоб прийдя со стороны как рядовой юзер и не зная вообще ничего ни о ком увидеть всякую итересную информацию обо всех. Типа обратная задача.
13 дек 03, 02:58    [458603]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
c127
Guest
2 SergSuper

>Ну почему я прежде чем что-то написать проверяю, а тебе можно спокойно вешать всякие обвинения не задумываясь? Может не будем больше ерунду писать, ну не первый раз уже?

MSSQL 7, другого нет под рукой. Не поленился проверить.

revoke select on sysdatabases to public;

коннектится юзер 'x' из группы public:

Server: Msg 229, Level 14, State 5, Line 1
[Microsoft][ODBC SQL Server Driver][SQL Server]SELECT permission denied on object 'sysdatabases', database 'master', owner 'dbo'.

Проблема пока небольшая, но все-таки есть и именно в предсказанном месте. Поэтому можешь быть уверен - дальше будет больше. Так что, копаем дальше методом тыка в стиле чайников, или все-таки пойдешь документацию почитаешь хоть немного?
16 дек 03, 01:14    [460617]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
SergSuper
Member

Откуда: SPb
Сообщений: 5488
2 c127
"Главной частью любого оружия является голова его владельца"
(С) По-моему из фильма "Два бойца"

Дык я не понял в чем я не прав? И где проблема? Ты убрал права на чтение списка базданных, в QA(это же из него делается запрос) есть списочек баз данных на сервере(сверху комбобоксик), теперь QA не может этот список заполнить, на что и ругается. А коннект судя по выданной ошибке произошел нормально.
Так что процитированные тобою мои слова можно повторить.

Что касается копания в стиле чайников... Вобще-то я с MS SQL работаю чуть ли не с момента его выхода, где-то с 95г, с версии 4.2 и документацию немного читал. Сейчас у меня только 2000-й и могу читать документацию только от него, но и в документации от предыдущих версий маловероятно что можно будет что-то такое найти, что меня удивит.

Ну и всё-таки: почему в Новеле список юзеров виден и это нормально, а в MS SQL этого одного уже достаточно, чтоб исключить MSSQL из списка претендентов на защищенную и надежную систему?


Для тех кто не знаком с MS SQL: QA (Query Analizer) - это клиентская программа от MS для написания и выполнения запросов.
16 дек 03, 10:46    [460912]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
c127
Guest
2 SergSuper

>Дык я не понял в чем я не прав? И где проблема? Ты убрал права на чтение списка базданных, в QA(это же из него делается запрос) есть списочек баз данных на сервере(сверху комбобоксик), теперь QA не может этот список заполнить, на что и ругается. А коннект судя по выданной ошибке произошел нормально.

Коннект произошел с предупреждением, что не есть нормально. Кто там чего не может заполнить - это домыслы, пусть и правдоподобные, а то что предупреждение вылазит именно там, где оно было предсказано - это факт. Поэтому я сильно подозреваю, что дальше появятся более серьезные проблемы. Это тоже домыслы.

>Ну и всё-таки: почему в Новеле список юзеров виден и это нормально, а в MS SQL этого одного уже достаточно, чтоб исключить MSSQL из списка претендентов на защищенную и надежную систему?

А кто тебе сказал такую глупость, что это нормально, покажи пальцем? Можешь исключить заодно и новел, я не против. По-моему он к эталонам в смысле безопастности не относится и вроде бы не претендует. Но во-первых врядли этот список в новеле открыт по-умолчанию, скорее всего закрыт, поскольку это общепринятая практика. Во-вторых его наверняка можно безболезненно закрыть. Если это так, то нет проблем.

В MSSQL 6.5 эти два списка (спиок юзеров сервера и список баз данных) закрыть было нельзя, это согласно как документации так и моему небольшому опыту. В MSSQL 7.x как мы только что выяснили закрывание этих списков сразу же приводит к проблемам, пусть и небольшим. Просто MSSQL единственный знакомый мне SQL сервер, в котором даже простейшие и логичные действия почему-то требуют плясок с бубном. А пляски с бубном - источник ошибок и поэтому MSSQL защищенным и надежным быть не может. Вот и все.

Кстати, как побочный эффект, политика мелкософта (все для домохозяйки, ДБА не нужен, по умолчанию все открыто, чтоб домохозяйке было удобней работать и пр.) привела к тому, что многие уже и не подозравают, что ЛЮБУЮ информацию не требующуюся для работы НИКОГДА нельзя показывать.
17 дек 03, 02:35    [462506]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
SergSuper
Member

Откуда: SPb
Сообщений: 5488
2 c127
Коннект произошел с предупреждением, что не есть нормально. Кто там чего не может заполнить - это домыслы, пусть и правдоподобные, а то что предупреждение вылазит именно там, где оно было предсказано - это факт. Поэтому я сильно подозреваю, что дальше появятся более серьезные проблемы. Это тоже домыслы.

Объясняю еще раз: коннект прошел нормально, без предупрежденией. Дальше QA хочет показать тебе список БД и тут и появляется ошибка. Если подключаться другой программой и не пользоваться QA (согласись что QA для юзеров никак не предназначен) - никаких ошибок не вылезет (если конечно не пытаться обращаться к списоку баз данных). Если не читать документацию и не стараться понять логику работы сервера, то я сильно подозреваю, что дальше появятся более серьезные проблемы. Но это касается не только MS SQL.

В MSSQL 6.5 эти два списка (спиок юзеров сервера и список баз данных) закрыть было нельзя, это согласно как документации так и моему небольшому опыту.
Давай так: или цитату из документации или про 6.5 молчим. Ок?

Что касается остального написанного - то это только эмоции. Мне например кажется что давать список юзеров или ресурсов по умолчанию - это вполне нормальная практика, я даже не представляю что может быть по-другому, у тебя другое мнение. Я своё мнение как-то аргументировал, мне твои аргументы кажытся слабыми(Это общее базовое правило любой системы безопастности, не только программной), у тебя наверное другое мнение. Тут кто кого громче перекричит.
17 дек 03, 10:28    [462745]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 32169
2c127
Действительно, нет никаких предупреждений при коннекте. Всё нормально работает. Остальное всё эмоции.

Мои знакомые админы (сам я разработчик) настраивают всё, что нужно - и права на системные таблицы, и права на нужные ключи в реестре и т.д.
Уверен, что для высокой секюрности и стабильной производительной в условиях большой нагрузки работы систем Unix/Oracle или AS400/DB2 нужна не меньшая квалификация и не меньше труда админов и разработчиков, чем для платформы MS.

Про то, что в оракле, чтобы всё нормально работало, ничего знать не надо - см. например эти кривые базы данных...
17 дек 03, 10:52    [462798]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
c127
Guest
2 SergSuper

>Давай так: или цитату из документации или про 6.5 молчим. Ок?

Согласие есть продукт при полном непротивлении сторон (C). Так что давай лучше не будем друг другу указывать что и как делать.

Насчет новелла, надеюсь, больше нет вопросов?

>Если не читать документацию и не стараться понять логику работы сервера, то я сильно подозреваю, что дальше появятся более серьезные проблемы. Но это касается не только MS SQL.

Ну я-то как раз документацию читаю и в этом похоже вся проблема. Ведь с этого и начался наш спор.

А можно и так рассуждать: предупреждение получено именно там, где я его предсказал, хотя я думал, что будет хуже. Найти самостоятельно эту дырку я не мог - не тот уровень знаний MSSQL, в этом ты же меня и убеждаешь. Так что остается один источник - документация. Пока не вижу никаких эмоций, одни факты.

>Объясняю еще раз: коннект прошел нормально, без предупрежденией. Дальше QA хочет показать тебе список БД и тут и появляется ошибка. Если подключаться другой программой и не пользоваться QA (согласись что QA для юзеров никак не предназначен) - никаких ошибок не вылезет (если конечно не пытаться обращаться к списоку баз данных).

И я еще раз объясняю: при коннекте получено предупреждение и это никогда нормальным не считалось. Откуда оно берется я не знаю. Как я и говрил раньше, твои предположения выглядят правдоподобными, но это всего лишь предположения. Кстати никакого сообщения, что коннект прошел не наблюдается вообще, что тоже не хорошо, хотя коннект проходит.

Листбокс о котором ты говорил всегда пустой, независимо есть ли доступ к sysdatabases или нет, так что может ты и ошибаешься.

А для кого же тогда предназначен QA, как не для юзеров? У нашего хостера я как самый обычный юзер сервера (MSSQL6.5) именно с помощью QA дизайнил свою БД и попутно наблюдал все эти разнесчастные списки всех пользователей, которые я видеть по всем законам не должен был.

>Мне например кажется что давать список юзеров или ресурсов по умолчанию - это вполне нормальная практика, я даже не представляю что может быть по-другому, у тебя другое мнение. Я своё мнение как-то аргументировал, мне твои аргументы кажытся слабыми(Это общее базовое правило любой системы безопастности, не только программной), у тебя наверное другое мнение.

Все-таки сходи в свой банк, попроси списки клиентов (и ресурсов) - тебе там очень аргументированно объяснят, почему тебе их дать не могут. Тебе даже точное количество клиентов не скажут. Может быть поймешь, что "по-другому" быть может, более того так есть и эта практика насчитывает уже не одну сотню лет. Нужно ли напоминать, что банковская информация сейчас хранится в тех же SQL серверах, или сам связь отследишь?
18 дек 03, 00:52    [464544]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
tygra
Member

Откуда: Тверь (Иркутск, Край)
Сообщений: 9997
автор
А для кого же тогда предназначен QA, как не для юзеров? У нашего хостера я как самый обычный юзер сервера (MSSQL6.5) именно с помощью QA дизайнил свою БД и попутно наблюдал все эти разнесчастные списки всех пользователей, которые я видеть по всем законам не должен был.


Ты однако спутал юзеров и разработчиков :)
У тебя в конторе все юзеры работают через QA?

-- Tygra's --
18 дек 03, 11:59    [465003]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
ASCRUS
Member

Откуда: МО Электросталь
Сообщений: 5994
Ну прямо моя мечта - чтобы юзерам не всякие там клиентские приложения рисовать и отчеты, а чтобы они сидели себе в ISQL и запросами работали :)
18 дек 03, 12:18    [465046]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
SergSuper
Member

Откуда: SPb
Сообщений: 5488
2 c127
Насчет сервера диалог видимо зашел в тупик, такое ощущение что ты клиентских приложений для MS SQL не писал. Например, предупреждения выдаются только на какие-то запросы, а коннект или проходит или нет. Ну и конечно странно слышать что юзеры работают с QA, это средство чисто для девелоперов.

Насчет клиентов банка и т.д.
Я уже писал что аналогия не является доказательством. В твоём примере это к тому же не очень хорошая аналогия - клиенты банка никак не взаимодействуют между собой и не работают с общими ресурсами, тайной является является ли некий гражданин клиентом банка или нет. В случае с юзерами совсем другая картина - юзеры могут передавать права другим юзерам, смотреть данные, введёнными другими юзерами, каждый догадывается что сотрудник Х тоже является юзером и т.д. Различий больше чем сходства. А моя аналогия со списком сотрудников более подходит(по тем же критериям, по которым не подходит твоя).

Но суть не в этом. Ты написал: Юзер вообще не должен никогда видеть ничего, что его непосредственно не касается. Это общее базовое правило любой системы безопастности, не только программной. Почему ты так решил? Кто это правило придумал? Я могу написать: показывать список логинов и ресурсов- это общее базовое правило любой системы безопастности. Почему ты считаешь что прав, а я нет?

....именно с помощью QA дизайнил свою БД и попутно наблюдал все эти разнесчастные списки всех пользователей, которые я видеть по всем законам не должен был.
Ну вот ты сделал базу, отдизайнил значит, потом тебе надо раздать права на неё(не одному ж тебе с ней работать). Ну и как ты это сделаешь, не видя списка юзеров?
18 дек 03, 13:00    [465145]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
aag
Member

Откуда: Москва
Сообщений: 1955
2 c127:
"И я еще раз объясняю: при коннекте получено предупреждение и это никогда нормальным не считалось. Откуда оно берется я не знаю.."

Странное у вас, однако, мнение. Т.е., если некто, напр., зайдет на сервер Оракла и ткнется там в таблицу, на которую у него нет прав и получит после этого ошибку - это нормально. А если он после этого, зайдет в приложение, которое после коннекта пытается читать таблицу баз - на которую у некто не прав - и получает отлуп, то это значит MSSQL плох.

Сравнение с банком неправомерно, потому что узнав у банка список его клиента, вы может получить представление о его пассивах, о его политике и пр., может переманить его клиентов и тд. Если, конечно, вы узнаете не "клички" клиентов, а их истинные названия. Если же вы узнаете список логинов сервера - то я пока не представляю, какой это может нанести реальный урон безопасности. Кроме как возможности попинать за это MSSQL.

Nobody faults but mine... (LZ)
18 дек 03, 13:26    [465233]     Ответить | Цитировать Сообщить модератору
 Re: Что лучше? Оракул9i или MS SQL2000? И чем?  [new]
Lepsik
Member

Откуда: glubinka
Сообщений: 4257
--потому что узнав у банка список его клиента, вы может получить представление о его пассивах, о его политике и пр., может переманить его клиентов и тд.

у нормального банка список клиентов на web-сайте висит.

А если банку конкуренту это надо переманить, то для этого сервре ломать не надо. Всегда найдутся люди, которые этот список принесут на блюдечке.

А в цивилизованных странах есть кредитное бюро и любой знает что за активы-пассивы и в каком банке лежат на любоe физическое/юридическое лицо.
19 дек 03, 00:01    [466298]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 2 3 4 [5] 6 7 8 9 10 .. 20   вперед  Ctrl
Все форумы / Сравнение СУБД Ответить