Re: Критика security
ArtGal wrote: И, соответственно, раздавать права? А это уже определяется GRANT OPTION в основной базе. Т.е. для рабочей базы этот юзер не отличается ничем от, скажем, юзера VASYA, но у него есть доступ в базу паролей.
Re: Критика security
Dmitry Yemanov wrote: Это сделано специально. Ибо нефиг. А если посмотреть с такой точки зрения: удаленный филиал. Надо чтоб местный директор мог раздавать пароли своим сотрудникам, но не знал пароля SYSDBA, соответственно не мог покопаться в логах и их почистить. Как решить такую проблему без изобретения своей системы безопасности? ИМХО, самое простое решение: добавить еще выделенного юзера (DBA), который отличается от обычного (не SYSDBA) только тем, что может раздавать пароли.
Re: Критика security
"Sergey Chernyak" ... > > Vlad Horsun пишет: > > Та ты шо ? Т.е. ты не можешь руками написать GRANT, если IBE тебе не > > показал USER'а ? Ай-яй-яй... > > > > Оно конечно не кошерно использовать IBExpert, когда есть isql.exe. ;-). > > И команду GRANT могу использовать (и использую). > Только зачем идти пешком, если можно поехать на автомобиле? Тереби Хвастунова на предмет задания юзера в ручную, а не только из списка. Но, чую, пошлёт он тебя :))) Учимся таки отделять мух от котлет - "проблему" конкретного GUI не всегда стоит перекладывать на сервер -- Хорсун Влад
Re: Критика security
Vlad Horsun пишет: Та ты шо ? Т.е. ты не можешь руками написать GRANT, если IBE тебе не показал USER'а ? Ай-яй-яй... Оно конечно не кошерно использовать IBExpert, когда есть isql.exe. ;-). И команду GRANT могу использовать (и использую). Только зачем идти пешком, если можно поехать на автомобиле? Если получение списка пользователей пользователем не-SYSDBA противоречит канонам безопасности, то так и скажи. С уважением, Сергей.
Re: Критика security
> > Мысль не понята. В чем конкретно проблема? > > > > В IBExpert есть удобный инструмент предоставления прав на объекты базы > данных (вкладка "Права" при редактировании свойств таблиц, процедур и т.д.). > Перечень пользователей Хвастунов до версий ранее февраля 2006 года брал > из таблицы USERS в Security.fdb и показывал какие права имеет каждый > пользователь на данный объект. > Если пользователь не SYSDBA, то перечень всех пользователей (кроме себя) > он получить не может, а соответственно давать права другим > пользователям, имея соответствующие полномочия, он не может. Та ты шо ? Т.е. ты не можешь руками написать GRANT, если IBE тебе не показал USER'а ? Ай-яй-яй... -- Хорсун Влад
Re: Критика security
Dmitry Yemanov пишет: "Ivan Ravin" <[EMAIL PROTECTED]> wrote: Неудобство налицо - любой владелец "прикладной" базы, чтобы допустить к ней пользователей сервера, должен либо знать пароль SYSDBA, либо просить администратора дать логины. Мысль не понята. В чем конкретно проблема? В IBExpert есть удобный инструмент предоставления прав на объекты базы данных (вкладка "Права" при редактировании свойств таблиц, процедур и т.д.). Перечень пользователей Хвастунов до версий ранее февраля 2006 года брал из таблицы USERS в Security.fdb и показывал какие права имеет каждый пользователь на данный объект. Если пользователь не SYSDBA, то перечень всех пользователей (кроме себя) он получить не может, а соответственно давать права другим пользователям, имея соответствующие полномочия, он не может. Сейчас эта проблема частично решена: IBExpert к списку пользователей из таблицы USERS в Security.fdb добавляет список всех пользователей имеющих какие-либо полномочия из таблицы RDB$USER_PRIVILEGES и показывает этих пользователей как имеющих права на объект, но не зарегистрированных на сервере, т.к. не знает зарегистрирован данный пользователь на сервере или нет. Было-бы неплохо иметь возможность через Service API получать список всех пользователей, зарегистрированных на сервере пользователю не SYSDBA.
Re: Критика security
Ivan Ravin wrote: 1) Поскольку было возможно считваение кешей и их взлом, то пользователь после применения патча видит только свою учетную запись. Нужно ли такое ограничение в 2.0 - к security-то теперь можно подключаться только через сервисы? Неудобство налицо - любой владелец "прикладной" базы, чтобы допустить к ней пользователей сервера, должен либо знать пароль SYSDBA, либо просить администратора дать логины. А вот если бы была возможность держать юзеров в базе... 2) Пользователь получил возможность менять не только пароль, но и учетные данные (FIRST_NAME, MIDDLE_NAME, LAST_NAME). По-моему, это недопустимо. Имхо лучше отдать на откуп админу/девелоперу, то есть опционально. Я понимаю что ты не хочешь чтоб Иванов легко мог себя превратить в Петрова, но это не так уж страшно - даже если такой Петров есть в этой организации, логины-то разные, а Current_User, которым штампуются модификации - это таки логин. То есть, жульничество довольно-таки легко раскручивается. А кто-то не захочет заморачиваться исправлять опечатки в ФИО через админа. -- Regards. Ded.
Re: Критика security
Привет, Ivan! Вы пишешь 24 апреля 2006: IR> Кстати, патч Ivan Prenosil для FB1.5 тоже можно улучшить: IR> + триггер из предыдущего сообщения Какое-такое триггер? Транзакция на чтение. -- With best regards, Alex Cherednichenko.
