RLS (Row-Level Security)
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
RLS (Row-Level Security) - 2011-11-30 18:44:46.610000
|
|
|
kb33
Сообщений: 46
Оценки: 0
Присоединился: 2007-04-03 10:06:11.443333
|
Пытаюсь освоить механизм RLS, для начала на клиенте. Помогите, пожалуйста, разобраться с парой вопросов. В одной статье среди недостатков такого метода (RLS на клиенте) выделяют: - небезопасность, т.к. в случае одновременной работы нескольких версий клиентского приложения с отличающимися наборами правил безопасности безопасность начинает зависеть уже не от разработчика, а от расторопности системных администраторов, осуществляющих эксплуатацию. Не понимаю, что здесь имеется в виду, подмена клиентского запроса? - целостность данных.Разграничение прав доступа на уровне СУБД выполняется в декларативном стиле, т.е. СУБД гарантированно проверяет одни и те же ограничения при любых операциях с данными. Но в клиентском приложении будет использован императивный стиль. Я так понимаю, что императивный стиль описывает правила преобразования объектов предметной области, а декларативный описывает каков объект, а не как его создать. Но как это выглядит на практике, применительно к RLS? Заранее благодарю!
|
|
|
RE: RLS (Row-Level Security) - 2011-12-01 13:51:30.300000
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Х… Фига се А дайте линк на статью
|
|
|
RE: RLS (Row-Level Security) - 2011-12-01 13:53:43.196666
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
А! Ну по первому вопросу - безопасность зависит от того типа или типа прав на приложение, которое назначат системные администраторы. Типичный пример RLS - 1С: Бухгалтерия, которая внутренними средствами определяет права, а сама 1С имеет dbo к базе (по краней мере старая, 7.7, новая не знаю уж как). Если админ дал неправильные права, то вся безопасность БД идет лесом. По второму - условно говоря, сервер БД применяет правила к данным независимо от клиента. Представьте ситуацию, в которой есть два клиента - один проверяет дату на валидность, а другой нет. Отсюда и может возникнуть сбой в целостности при добавлении неправильных данных - сервер такое отфильтрует, а второй клиент - нет.
|
|
|
RE: RLS (Row-Level Security) - 2011-12-02 16:13:20.963333
|
|
|
kb33
Сообщений: 46
Оценки: 0
Присоединился: 2007-04-03 10:06:11.443333
|
Спасибо за ответы! По первому вопросу, если честно, не очень понятно. Т.е. само приложение может иметь прав больше, чем те права, которые дают правила доступа прописанные программистом в клиенте? как этим может воспользоваться злоумышленник?
|
|
|
RE: RLS (Row-Level Security) - 2011-12-05 10:45:21.280000
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Конечно - приложение может иметь больше прав. Воспользоваться этим очень просто - например отреверсить приложение и найти параметры доступа к БД.
|
|
|
RE: RLS (Row-Level Security) - 2011-12-05 17:19:05.193333
|
|
|
kb33
Сообщений: 46
Оценки: 0
Присоединился: 2007-04-03 10:06:11.443333
|
Понятно, дошло:) спасибо!
|
|
|
|
|