Seguridad de BD Violada con embedded

[Casimiro Notevi]

Sí, está muy bien, pero no pongas en tu programa una opción: "Hacer backup de la base de datos", porque sería una "puerta trasera" enorme y abierta, sin llave

[Diego827]

Cita:

Empezado por Casimiro Notevi

Sí, está muy bien, pero no pongas en tu programa una opción: "Hacer backup de la base de datos", porque sería una "puerta trasera" enorme y abierta, sin llave

JAJA añadire la prohibicion de backups. (mmm bueno creo que no esta tan mal la idea :)

[Casimiro Notevi]

Cita:

Empezado por Diego827

JAJA añadire la prohibicion de backups. (mmm bueno creo que no esta tan mal la idea :)

Con ese comentario que he puesto quiero dar a entender que muchas veces, muchas personas, buscan una seguridad "engañosa", critican el sistema de seguridad de una BD con unos motivos que no son muy "reales". Porque es seguro que va a poner en el programa una opción de backup, por lo tanto, todo sistema de seguridad queda inutilizado.
La única solución sería la misma que se ha comentado, no hacer backup desde el programa y dejar esa función para el propio servidor, que no debe tener acceso a gente de fuera.
Ese es el auténtico sistema de seguridad, lo otro (claves, cifrado, etc.) normalmente no sirve para nada.

[Toni]

Bueno, yo suelo cerrar la puerta de mi casa, aunque se que si quieren reventarla pueden hacerlo.... Pero si la del vecino esta abierta iran a por el primero.

[Toni]

Hola,

Para quien le pueda interesar he subido al ftp del Club Delphi una pequeña herramienta que permite a los desarrolladores de Firebird de una forma muy facil encriptar/desencriptar los procedimientos de sus base de datos.

http://www.terawiki.clubdelphi.com/B...s firebird.rar

[Casimiro Notevi]

Estupendo

[Toni]

Casimiro, como puedo subir el archivo ya con el exe y con un pequeño archivo leeme.txt?
Tienes que eliminar el anterior?

[Casimiro Notevi]

Súbelo si quieres con otro nombre, ejemplo: ProtegerProcedimientosFirebird_2.rar
Si quieres sustituyo el anterior por este con el nombre del anterior, o dejamos los dos, como quieras.

[salvica]

Cita:

Empezado por CarlosG

Esta parece la mejor opcion para acometer una solución el problema de seguridad en windows, incluso mas seguro que una contraseña, hasta ahora, le he realizado algunas pruebas preliminares y todo va bien , ni copiar se puede el achivo de BD, ahi si tiene sentido los password y los usuarios. A la verdad la documentación que viene con firebird tambien menciona el tema (del usuario del sistema usado para el inicio del servidor firebird y la restriccion de permisos al archivo de bd) aunque no tan explicitamente como lo ha hecho guillotmarc, por lo que me paso desapercibida en un primer momento.
Eso de que el administrador del sistema del servidor(la cuenta de usuario claro) tampoco podria tener acceso a un archivo (como el de la BD) configurado con permisos exclusivos por otro usuario, es algo que no sabia, buen dato.

Para realizar esta configuración tampoco seria necesario tener acceso fisicamente al servidor para hacer la configuración, en Windows se podria hacer que el mismo instalador de la aplicacion cree un usuario del sistema (similar como hace el instalador de PosgreSql) que sea conocido solo por nosotros para correr el servidor y establezca los permisos del archivo de BD, Claro cuesta un poquitin mas de trabajo pero todo sea por la seguridad.

Si te trinca la Guardia Civil el ordenata, la contabilidad en "B", las películas porno y los programas que has bajado con el eMule te los sacan en 10 minutos

Saludos
salvica

[Toni]

Hola,

Esta misma semana en una instalacion que tengo montada en una empresa, alguien con acceso al servidor a entrado a la base de datos de mi programa y se le ha ocurrido realizar algunos cambios.

Se que tienen contratada una empresa que les administra toda la red informatica y servidores, y que tambien tiene contratado un mantenimiento con la empresa que tienen el ERP. Lo que ha sucedido es que al informatico que les realiza el mantenimiento del ERP, aprovechando que ya les esta haciendo tareas le han solicitado si podia añadir unos cambios en la base de datos de mi aplicación. Los cambios consistian simplemente añadir nuevas series en unos documentos, pero claro al no conocer la aplicación lo han realizado mal con el consecuente lio.

El cliente cuando ve que tiene un problema grave, se pone en contacto conmigo sin decirme nada de esto, por supuesto. Con prisas y arrogancias, porque claro mi sistema 'falla'. Ademas no es la primera vez que sucede con este cliente.

Los cambios que han realizado en unas tablas maestras, tienen dos campos que registran la fecha y hora de alta y modificación de los registros de la misma y solo se pueden modificar directamente en la base de datos. De esta forma me a sido muy facil hasta saber quien estaba conectado en ese momento al servidor.

La cuestion es que claro esta el cliente niega absolutamente que nadie haya modificado nada, cuando es mas que evidente y coinciden los cambios realizados con serie de documentos que tambien han dado de alta en el ERP.

Todo esto lo cuento a modo de anecdota.

Por suerte, todo los procedimientos estan protegidos y no pueden modificar nada de ellos. Pero si pudiesen tarde o temprano lo habrian realizado y me tocaria a mi solucionar el problema.