2015-03-26 11:43 GMT-03:00 Márcio A. Sepp <mar...@zyontecnologia.com.br>:
Teve um caso de desenvolvimento de sistemas comerciais onde o fisco "pegou" clientes
utilizando o mesmo sistema, porém com comportamentos bem distintos. Neste caso específico, a pessoa
que foi implantar o sistema alterou funções do sistema de modo a permitir um "caixa 2".
Este sistema era desenvolvido em Firebird e depois desse fato, a empresa desenvolvedora optou por
ocultar o código fonte dos procedimentos do banco...
Até achei esse um caso de uso interessante; me pergunto qual seria a
reação se apresentado na -hackers. Imagino que algo assim já tenha
pipocado por lá. Mas, como disse o Euler (se não me falha a memória),
isso é um problema essencialmente contratual: nenhuma empresa é
responsável pelo uso que fazem dos programas dela, e em caso de
preocupação basta uma cláusula contratual deixando isso claro. Talvez
não seja sábio alterar o PostgreSQL para dar conta disso. Me pergunto
também se seria algo que pudesse virar um contrib da vida.
Daria para fazer também coisas como um programa que verificasse a
integridade do código antes de rodar, por exemplo.
Não seria mais fácil embutir essa função no código do sistema ao invés
de fazer em PL? Assim a preocupação com segurança de código fica só no
lado da aplicação e menos no banco de dados.
Por outro lado, se a empresa do colega é tem tanta preocupação assim com
a segurança da linguagem procedural, o mesmo se aplica para seus dados.
Em resumo, os dedões que não deveria alterar PL também não deveriam
poder alterar dados sem passar pela aplicação.
Logo, o problema de segurança me parece mais embaixo...
[]s
Flavio Gurgel
_______________________________________________
pgbr-geral mailing list
pgbr-geral@listas.postgresql.org.br
https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral