[firebase-br] Brecha na Segurança no Firebird ???

Mario brujeria em task.com.br
Sáb Mar 3 10:07:43 -03 2007 

Ola,

o FB é seguro se vc usar um SO seguro com pessoas seguro!

Isso é normal em qualquer área, e não será a internet q dexará seus
dados vuneráveis!

Nao existe essa de dados seguros nao podem estar na internet, afinal,
você não acessa ao INternet 
Banking? 


A verdade sobre a falha da segurança é: 
	1. Você faz um software desktop no qual usa FB para coleta de dados. 
	2. Este software faz o upload dos dados para a Web quando está
conectado.
	3. Neste meio tempo entre por os dados na Web, o usuário poderia
acessar o Banco FB como embarcado e modificar os dados antes de enviar
para a Web.


Esta sim é a unica forma no qual NAO TEM SAIDA quando o BD nao tem
criptografia alguma.

Todas as outras formas TÊM SAIDA, adotando politicas de segurança junto
com ferramentas.

Valeu

Mario Mol


Em Sex, 2007-03-02 às 21:20 +0000, Alberto Brito escreveu:
> Boas
> 	
> 	Bem por aquilo que ja foi dito pouco mais deverá haver para 
> acrescentar, mas vou deixar ca a minha opinao tambem.
> 	Quanto ao administrador ter amigos e esses pedir favores etc..., não 
> acho isso muito ético, se ele não for um bom profissional então nao sera 
> de todo um bom administrador portanto não servirá para o trabalho.
> 	Em relação ao fulano descobrir a password de acesso ao banco para o 
> poder copiar, aí a coisa fica pior, pois nao sera apenas o banco a ficar 
> em check mas sim todo o sistema.
> 	Conclusão, como ja foi dito deveremos acionar todos os sistemas de 
> segurança que o Firebird nos proporciona Aliases, Alterar a password do 
> SYSDBA, bloquear acesso ao banco, etc.., depois de tudo certinho acho 
> muito difícil mas muito difícil mesmo alguem contornar a segurança.
> 
> 	Claro que nao vamos voltar ao mesmo o Administrador tem amigos etc.., 
> se assim for vamos ficar aqui eternamente,porque voltamos sempre ao mesmo.
> 
> 	No meu caso Uso Opensuse 10 64 bits nos servidores as passwords de 
> acesso ao servidor como o root e outros que tenham privilegios de 
> administração ficam comigo e nem sequer são entregues aos clientes,
> ou seja ali só eu mecho e mais ninguém.
> 
> 	Gostaria de ver alguem a tentar fuçar um servidor meu para ver se 
> conseguia alguma coisa.
> 	
>   	É tudo muito bonito quando se sabe a password e tem acesso directo ao 
> banco, fora isso, aqui ponho um desafio.
> 
> 	Posso disponiblizar um servidor na net para quem quiser tentar aceder a 
> um dos meus bancos, se alguem quiser tentar que poste aqui.
> 	
> 	Obrigado a todos por me deixarem expressar a minha opinião.
> 
> 
> Alberto Brito
> 
> Denis Pereira Raymundo escreveu:
> >     A segurança do firebird diz que devemos proteger o local onde o banco de dados está. Até aí tudo bem. Fazendo testes, vi que o firebird não aceita fazer um backup de um disco para o outro, ótimo. Mas percebi uma coisa que parece ser uma brecha a isso:
> > 
> >     Mesmo se eu não possuir acesso físico ao banco, mas possuir direito de acesso a alguma pasta nesse servidor e souber a senha do SYSDBA, posso fazer um backup para a minha pasta e aí blau blau...
> > 
> >     Denis Pereira Raymundo
> > ______________________________________________
> > FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> > Para editar sua configuração na lista, use o endereço http://mail.firebase.com.br/mailman/listinfo/lista_firebase.com.br
> > Para consultar mensagens antigas: http://firebase.com.br/pesquisa
> > 
> 
> 
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para editar sua configuração na lista, use o endereço http://mail.firebase.com.br/mailman/listinfo/lista_firebase.com.br
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa

Mais detalhes sobre a lista de discussão lista