Seguridad de BD Violada con embedded

[[newtron]]

Cita:

Empezado por guillotmarc

Firebird es una base de datos open-source. Su código está disponible para todo el mundo

Buena observación.

[Casimiro Notevi]

Además de lo comentado por los compañeros, hay otro punto a tener en cuenta en relación a la seguridad:
Un servidor Linux, sólo el usuario Firebird tiene acceso a la BD, ningún otro usuario tendrá acceso ni para entrar al directorio de la BD, se acabó el problema.
Claro, que si das la clave del usuario root a cualquiera... es como dar las llaves de la caja fuerte del banco a un ladrón.
También se puede decir que se puede saltar la clave de acceso en Linux, evidentemente que se puede, todo se puede, depende del empeño que se ponga.

[Toni]

Es cierto que casi todas las protecciones se pueden saltar o romper, pero pensar por un momento que con una simple clave a nivel de fichero se limita el acceso a esa información al 99.99% de las personas que puedan tener acceso al fichero, creo que si seria interesante.

Por otro lado yo en muchas casos cuando instalo una aplicación en el servidor de una empresa no soy quien para cambiar politicas de seguridad del servidor ni nada. Y no se quien va a acceder el dia de mañana a dicho servidor.

[Casimiro Notevi]

En cualquier sitio que manejen datos "sensibles" han de tener una política de control de esos datos, si no la cumplen es problema de ellos. Tú puedes informarles y aconsejarles, pero no puedes convertirte en el guardián de la seguridad de sus datos si tienen la puerta abierta y las llaves bajo el felpudo.

Además de lo comentado antes, eso es denunciable, no es una falta, es un delito penado con multas grandes y cárcel. Ten en cuenta también (si estás en España) que la empresa puede ser multada con multas astronómicas por no proteger esos datos de personas no autorizadas, por revelar datos a terceros, etc. Así que, lo dicho, que cumplan la ley y no te quieran hacer responsable buscando una clavecita para la BD. ¡¡¡Es que lo que has contado que hacen es muy fuerte!!!, eso es de juzgado... YA.

EDITO: es que aunque firebird tuviera para ponerte una clave como la que indicas, ¿de qué serviría si parece que ahí tiene acceso hasta el niño del botijo?, qué más da poner una clave "1234" que poner "jfdsklfjdsiof9r"... si luego va estar escrita en un post-it en la pantalla del ordenador?

CONTROL es lo que se necesita ahí.

[guillotmarc]

Me parece que mi mensaje anterior no ha quedado muy claro.

Me refería a que si tienes dudas sobre el personal de administración y mantenimiento de la empresa donde se ubica tu aplicación, entonces cuando hagas la instalación quítales directamente los derechos sobre la base de datos.

Eso no creo que lo puedan llamar cambiar las políticas de seguridad de esa empresa, puesto que no modificas nada más de su sistema (aparte de añadir un usuario), solo proteges un archivo tuyo.

A partir de ese momento, ese archivo solo es accesible por un usuario y contraseña que solo tu conoces (y que es la cuenta de usuario sobre la que debes configurar que corra el servicio Firebird, con lo que el motor de la base de datos podrá acceder perfectamente al archivo de la base de datos).

No sé como funciona en Linux para el usuario Root, pero en Windows al usuario Administrador y al Rol Administradores le puedes quitar perfectamente los derechos sobre un archivo o una carpeta concreta.

NOTA: A los informáticos de la empresa no les va a gustar, pero es lo que hay que hacer si realmente no confías en ellos y les quieres impedir el acceso a tus datos. Así es como se configura la seguridad en Firebird, se delega en el sistema de archivos, y el resultado es tan seguro o más como en cualquier otra base de datos comercial.

[Toni]

Cita:

En cualquier sitio que manejen datos "sensibles" han de tener una política de control de esos datos, si no la cumplen es problema de ellos. Tú puedes informarles y aconsejarles, pero no puedes convertirte en el guardián de la seguridad de sus datos si tienen la puerta abierta y las llaves bajo el felpudo.

Casimiro.......que estamos en España!!! Que las leyes se hacen para no cumplirlas!

Guillotmarc, me parece muy interesante lo que comentas, a mi principalmente mas que los datos me preocupa mas por todo el código que tengo en la base de datos (procedimientos), que esta al alcance de cualquiera años de trabajo...

[[mightydragonlor]]

ahh pos eso es lo de menos, por algú lado leí, no estoy seguro, pero creo haber leido que firebird 2.5 ya dispone de una opción, algo así como empaquetar la base de datos con los sps, funciones y triggers, así estos no sean leidos por alguien, pero repito, no estoy seguro de esto, si alguien nos confirma eso, pos excelente xD

[Diego827]

Como las contraseñas se saltan en dos dias o que se yo...
Como si se copia el archivo se habre en dos minutos o que se yo...
Como todo lo demas que se yo...

Mejor comprar un case asì:



Y ya

Esta idea estoy por venderla a Firebird e interbase asi que ni intenten adelantarce... ya voy avanzado en platicas con YALE y MasterLock.

Saludos

[Casimiro Notevi]

Cita:

Empezado por Toni

[..] a mi principalmente mas que los datos me preocupa mas por todo el código que tengo en la base de datos (procedimientos), que esta al alcance de cualquiera años de trabajo...

Ahí m'asmatao

¿Qué valor tiene un procedimiento?, como mucho, para otro programador, sacar alguna idea para hacer algo similar, pero nada más.
Yo a eso no le doy ningún valor, si a alguien le puede servir para algo, que lo use.

[[mightydragonlor]]

depende del procedimiento almacenado, por ejemplo, yo hice uno que te dice la similitud que tiene un texto con otro algo así como "juan carlos"se parece a "Jhon Karlos" en un 65% y es fundamental en un programa que hicimos para una importante empresa de nuestro pais que para sus entregas necesita identificar específicamente que cada cliente sea único a partir de la información de todas las fuentes de ingreso de información, osea se tienen muchos puntos donde digitan o importan esa información, pero todo el mundo lo hace de manera diferente, la forma en que hacemos esto no nos gustaría que alguien la copiara.

[Toni]

Cita:

¿Qué valor tiene un procedimiento?, como mucho, para otro programador, sacar alguna idea para hacer algo similar, pero nada más.
Yo a eso no le doy ningún valor, si a alguien le puede servir para algo, que lo use.

Que valor puede tener un procedimiento.....pues exactamente el mismo que un procedimiento o funcion de tu aplicación y no por eso vamos dejando los fuentes de las aplicaciones hechas en Delphi en los clientes.

Lo de compartir esta muy bien, pero para eso esta el foro y otros medios.

[guillotmarc]

Hola.

Cita:

Empezado por Toni

Guillotmarc, me parece muy interesante lo que comentas, a mi principalmente mas que los datos me preocupa mas por todo el código que tengo en la base de datos (procedimientos), que esta al alcance de cualquiera años de trabajo...

Esto siempre se ha podido ocultar en Firebird, ya desde las primeras versiones.

http://www.clubdelphi.com/foros/showthread.php?t=8982

NOTA: Este proceso solo se debería ejecutar en las bases de datos que se envían a los clientes. En cambio las bases de datos de desarrollo se deberían mantener con el código fuente de los procedimientos almacenados y triggers, ya que en caso contrario, es imposible volver a recuperarlo (en la base de datos solo queda la versión compilada de los mismos).

Saludos.

[Toni]

Si, ya lo utilizo pero en las puestas en marcha que se alargan mucho y que hay que estar personalizando estso procedimientos, hasta que no es la version final no lo elimino porque con un simple error puedo liar una buena.

[Casimiro Notevi]

Cita:

Empezado por mightydragonlor

depende del procedimiento almacenado, la forma en que hacemos esto no nos gustaría que alguien la copiara.

Para mí esas cosas no tienen mucho valor, ¿qué pasa si consigo ese procedimiento que tanto valoras?, ¿qué ocurre si hago uno similar?, ten por seguro que si yo tengo uno que hace eso y tú lo necesitaras... aquí lo pondría para todo el mundo.

Cita:

Empezado por Toni

Que valor puede tener un procedimiento.....pues exactamente el mismo que un procedimiento o funcion de tu aplicación y no por eso vamos dejando los fuentes de las aplicaciones hechas en Delphi en los clientes.
Lo de compartir esta muy bien, pero para eso esta el foro y otros medios.

Yo sí, yo dejo el código fuente completo en un directorio del programa, ni que fuesen la fórmula milagrosa para la vida eterna, ¿a quién le interesa esas cosas?, si os paráis a pensarlo un poco, poneos en situación: una reunión de gente variada y dices: "tengo un procedimiento que compara cadenas similares y devuelve el porcentaje de similitud con un 95% de aciertos".
¿Qué ocurrirá entre los presentes?, que seguirán hablando de la película, del tiempo que hace o del último fichaje de su equipo favorito.
Lo dicho, esas cosas no tienen valor alguno.

Muy distinto es el valor que le damos nosotros, cuando acabamos una función/procedimiento que funciona tan bien, tan elegante, con tan poco código que parece mentira que haga lo que hace, la pondríamos en un marco y la colgaríamos en la pared con un texto: "Esto lo hice yo".
De verdad, bromas aparte, eso no vale nada para el resto del mundo.