Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

RLS (Row-Level Security)

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Прочее] >> RLS (Row-Level Security)
Имя
Сообщение << Старые топики   Новые топики >>
RLS (Row-Level Security) - 2011-11-30 18:44:46.610000   
kb33

Сообщений: 46
Оценки: 0
Присоединился: 2007-04-03 10:06:11.443333
Пытаюсь освоить механизм RLS, для начала на клиенте. Помогите, пожалуйста, разобраться с парой вопросов.

В одной статье среди недостатков такого метода (RLS на клиенте) выделяют:

- небезопасность, т.к. в случае одновременной работы нескольких версий клиентского приложения с отличающимися наборами правил безопасности безопасность начинает зависеть уже не от разработчика, а от расторопности системных администраторов, осуществляющих эксплуатацию.
Не понимаю, что здесь имеется в виду, подмена клиентского запроса?

- целостность данных.Разграничение прав доступа на уровне СУБД выполняется в декларативном стиле, т.е. СУБД гарантированно проверяет одни и те же ограничения при любых операциях с данными. Но в клиентском приложении будет использован императивный стиль.
Я так понимаю, что императивный стиль описывает правила преобразования объектов предметной области, а декларативный описывает каков объект, а не как его создать. Но как это выглядит на практике, применительно к RLS?

Заранее благодарю!
Post #: 1
RE: RLS (Row-Level Security) - 2011-12-01 13:51:30.300000   
Pupkin-Zade

Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
Х… Фига се
А дайте линк на статью
Post #: 2
RE: RLS (Row-Level Security) - 2011-12-01 13:53:43.196666   
Pupkin-Zade

Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
А!

Ну по первому вопросу - безопасность зависит от того типа или типа прав на приложение, которое назначат системные администраторы. Типичный пример RLS - 1С: Бухгалтерия, которая внутренними средствами определяет права, а сама 1С имеет dbo к базе (по краней мере старая, 7.7, новая не знаю уж как). Если админ дал неправильные права, то вся безопасность БД идет лесом.

По второму - условно говоря, сервер БД применяет правила к данным независимо от клиента. Представьте ситуацию, в которой есть два клиента - один проверяет дату на валидность, а другой нет. Отсюда и может возникнуть сбой в целостности при добавлении неправильных данных - сервер такое отфильтрует, а второй клиент - нет.
Post #: 3
RE: RLS (Row-Level Security) - 2011-12-02 16:13:20.963333   
kb33

Сообщений: 46
Оценки: 0
Присоединился: 2007-04-03 10:06:11.443333
Спасибо за ответы!
По первому вопросу, если честно, не очень понятно. Т.е. само приложение может иметь прав больше, чем те права, которые дают правила доступа прописанные программистом в клиенте? как этим может воспользоваться злоумышленник?
Post #: 4
RE: RLS (Row-Level Security) - 2011-12-05 10:45:21.280000   
Pupkin-Zade

Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
Конечно - приложение может иметь больше прав. Воспользоваться этим очень просто - например отреверсить приложение и найти параметры доступа к БД.
Post #: 5
RE: RLS (Row-Level Security) - 2011-12-05 17:19:05.193333   
kb33

Сообщений: 46
Оценки: 0
Присоединился: 2007-04-03 10:06:11.443333
Понятно, дошло:) спасибо!
Post #: 6
Страниц:  [1]
Все форумы >> [Прочее] >> RLS (Row-Level Security)







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.