FTP | CCD | Buscar | Trucos | Trabajo | Foros |
|
Registrarse | FAQ | Miembros | Calendario | Guía de estilo | Buscar | Temas de Hoy | Marcar Foros Como Leídos |
|
Herramientas | Buscar en Tema | Desplegado |
|
#1
|
||||
|
||||
¿Se puede saber como mínimo con qué versión de firebird está creada?
|
#2
|
|||
|
|||
Truco ...
Perdón Casimiro... tienes toda la razón .... la base de datos está creada en Firebird 2.5 .... aunque el truco puede funcionar a partir de la version 2.1
Saludos, Gerardo Suárez Trejo |
#3
|
||||
|
||||
Bien, gracias
|
#4
|
||||
|
||||
Cita:
Muy interesante, habrá que instalar FB 2.5 y echarle un vistazo.
__________________
Marc Guillot (Hi ha 10 tipus de persones, els que saben binari i els que no). |
#5
|
||||
|
||||
Tienes razón, guillotmarc, por lo que he visto (con un editor hexadecimal) controla si existe un usuario determinado, lo que no sé es si también controla que el password sea otro diferente al predeterminado.
Tampoco tengo instalado fb2.5, a ver si saco tiempo para instalarlo en una máquina virtual y lo pruebo. |
#6
|
||||
|
||||
Aún no lo he probado (tengo que instalar FB 2.5, aún trabajo con la 2.0 habitualmente).
Pero creo que hay una forma relativamente sencilla de romper esta seguridad (si se confirma que consiste en lo que estamos pensando, triggers de bases de datos). Tienes que copiar la base de datos a un servidor nuevo, donde conozcas la contraseña de SYSDBA, y después solo tienes que entrar en ella con el comando ISQL (está en la carpeta \bin de Firebird) usando el switch -nodbtriggers. Una vez conectado como SYSDBA a la base de datos, y habiendo evitado el mecanismo de seguridad, ya puedes echar un vistazo a sus triggers, modificarlos, eliminarlos, etc. ... Ejplo: delete from rdb$triggers where (rdb$system_flag = 0 or rdb$system_flag is null); La verdad es que el mecanismo no está mal para mantener alejados a los neófitos, pero no va a detener a alguien con más experiencia.
__________________
Marc Guillot (Hi ha 10 tipus de persones, els que saben binari i els que no). Última edición por guillotmarc fecha: 09-04-2011 a las 19:32:53. |
#7
|
||||
|
||||
Efectivamente, aquí está la prueba
|
#8
|
|||
|
|||
Truco ...
Casimiro:
Efectivamente... esa es la base de datos ... una pregunta ¿cuanto tiempo invertiste en entrar a la base de datos? Como dice Guillotmarc es un mecanismo relativamente sencillo para mantener a los neófitos alejados de tu datos. Aunque creo que también puede engañar a uno que otro programador experimentado ... La forma que describe Guillotmarc se me hace un tanto elaborada ... existe una forma aun mas sencilla .... que es la que yo utilizo .... Bueno ... pues ahora queda la opción de llevarlo a otro nivel ... Saludos, Gerardo Suárez Trejo |
#9
|
|||
|
|||
Se que hace bastante de este post, pero tengo el mismo problema, estuve buscando informacion al respecto y no hay forma de restringir el acceso a las base de datos firebird una vez se tiene acceso fisico al fichero.
Cita:
|
#10
|
||||
|
||||
Donde se apoya toda la seguridad informática es en el primer eslabón, y ese, precisamente es no tener acceso físico al archivo.
Si no puedes acceder al coche, no lo vas a poder robar. Si tienes acceso, es cuestión de tiempo. Estamos en fb 3.0 beta (no me ha dado tiempo a mirarlo), pero como ya apuntaban más abajo, tarde o temprano alguien compilará los fuentes "sin esa protección o machacando la protección" y reventará los ficheros (aquí me he pasado tres pueblos, lo sé, pero tiempo al tiempo). En un SGBBDD concreto y muy usado, es "tan fácil" como poner una contraseña encriptada en un campo, sabiendo de antemano que "XrgWrsZZrk" es la encriptación de "admin" del usuario "administrador", y esto lo sabes porque creas una BBDD en blanco, entras con el administrador de BBDD y miras el contenido del campo. En otro SGBBDD ni eso, basta con instalar el servidor en una Máquina virtual y ya puedes registrar las bases de datos, con admin y la contraseña que hayas puesto al instalar el servidor, casi igual que Firebird hasta ahora. Con estos dos ejemplos reales (que no doy más detalles porque no es un foro de hackers), quiero decir que nos estamos saltando la premisa de base; queriendo arreglar algo por software, cuando en realidad es de hardware: - puerta con contraseña numérica para acceder a la sala del servidor, - huella digital - o lo que quieras Y no, no es "rollo película de los 80", el que valora sus datos lo hace así. No debe ser millonario ni mucho menos (todo lo contrario porque esos sistemas son baratos), es estar sensibilizado con la seguridad.
__________________
Si usted entendió mi comentario, contácteme y gustosamente, se lo volveré a explicar hasta que no lo entienda, Gracias. |
Herramientas | Buscar en Tema |
Desplegado | |
|
|
|