Ah, Pablo. El problema de la faliblidad humana en materia de seguridad no tiene que ver con la tecnología. Léase "Secret and Lies" de Bruce Scheiner, donde pone su famosa máxima: "si usted piensa que la tecnología va a solucionar sus problemas de seguridad, es que no entiende el problema se seguridad ni el tecnológico"... 8-D
El problema de las claves de máximo nivel que son públicas no está restringido a empresas pequeñas. Recientemente estuve trabajando en una empresa de "primer nivel" de la escena local y para poder hacer las cosas que necesitaba, a diez días de haber empezado ya tenía usuarios y password de todos los colores y podía entrar donde quisiera, sin tener que hacer ningún esfuerzo a la James Bond... Salutes, MS On 12/4/06, Pablo Pioli <[EMAIL PROTECTED]> wrote:
El problema de la seguridad interna es que el atacante es SA en la nueva instancia. Luego de atachar la DB podes acceder a los datos sin problemas. Lo he hecho en algunas ocasiones. Esto que antes era mas complicado justamente por el tema de tener que atachar la BD ahora se ha simplificado. Y la seguridad fisica del archivo la podes mantener en una empresa que tenga area de sistemas. Por mi experiencia en empresas pequeñas y medianas si una clave con permisos administrativos no esta disponible publicamente la conseguis con un minimo de ingenieria social. Lamentablemente, si tenes que impedir que algun usuario "esforzado" acceda a los datos un DBF encriptado con Crytor resulta mas seguro que SQL Server. Antes de que me cascoteen: no estoy hablando de transacciones, integridad, etc. Estoy hablando de la persona que se mete con informacion que no le corresponde. Pablo Pioli ----- Original Message ----- *From:* Martin Salias <[EMAIL PROTECTED]> *To:* GUFA List Member <[email protected]> *Sent:* Monday, December 04, 2006 6:41 PM *Subject:* [GUFA] [OT] Seguridad en SQL Server 2005 Hola, Pablo. Hay varios temas para tener en cuenta. Uno es que aunque podés llevar y traer la DB (MDF/LDF), la seguridad interna sigue estando, o sea que tenés que conectar y tener permisos sobre la misma para poder accederla. Por otro lado, antes podías llegar a hacer lo mismo, si el servicio de SQL estaba bajo. El tema es que tenias que agarras la copia y attachearla, y ahora no. En todos los casos, que pueda copiarla en cualquier momento no significa que cualquier usuario pueda tener acceso al directorio donde están los archivos físicos. En resumen no tenés más ni menos protección/desprotección que antes. Ahora es más fácil operar si tenés los permisos correctos, nada más. Saludos, Ms On 12/4/06, Pablo Pioli <[EMAIL PROTECTED]> wrote: > > Tengo una duda "existencial" con respecto a la seguridad que brinda SQL > Server 2005 con su XCopy Deployment. > > Resulta muy practico y comodo pero me da algo de desconfianza en el > aspecto de seguridad. > > Supongamos que un usuario malicioso con algunos conocimientos tecnicos > se instale en una PC particular SQL Server 2005, copie la base de datos de > la empresa, la modifique a su gusto y utilice la copia modificada para > reemplazar la de la empresa. > > ¿Es posible evitar esto? > > Saludos > > Pablo Pioli > -- Martín Salías www.Salias.com.ar <http://www.salias.com.ar/> Agile Alliance Member - Microsoft MVP
-- Martín Salías www.Salias.com.ar Agile Alliance Member - Microsoft MVP
