Re: [firebase-br] Brecha na Segurança no Firebird ???

Luiz Eduardo Oliveira Fonseca luizeof em gmail.com
Sáb Mar 3 22:26:28 -03 2007 

eu tbm acho q a net resolve um pouco, aki no serviço usamos 5 camadas no
asp.net e no windowsforms, tudo via webservice, nem os programadores sabem a
senha do banco, nem ninguem, e o servidor é um BSD, totalmente bloqueado, a
nao ser q roubem a cpu, q é outra historia ... mas aki os webservices e a os
ClassLibrary do .net resolveram o problema...

On 3/3/07, Mario <brujeria em task.com.br> wrote:
>
> Ola,
>
> o FB é seguro se vc usar um SO seguro com pessoas seguro!
>
> Isso é normal em qualquer área, e não será a internet q dexará seus
> dados vuneráveis!
>
> Nao existe essa de dados seguros nao podem estar na internet, afinal,
> você não acessa ao INternet Banking?
>
>
> A verdade sobre a falha da segurança é:
>         1. Você faz um software desktop no qual usa FB para coleta de
> dados.
>         2. Este software faz o upload dos dados para a Web quando está
> conectado.
>         3. Neste meio tempo entre por os dados na Web, o usuário poderia
> acessar o Banco FB como embarcado e modificar os dados antes de enviar
> para a Web.
>
>
> Esta sim é a unica forma no qual NAO TEM SAIDA quando o BD nao tem
> criptografia alguma.
>
> Todas as outras formas TÊM SAIDA, adotando politicas de segurança junto
> com ferramentas.
>
> Valeu
>
> Mario Mol
>
>
> Em Sex, 2007-03-02 às 21:20 +0000, Alberto Brito escreveu:
> > Boas
> >
> >       Bem por aquilo que ja foi dito pouco mais deverá haver para
> > acrescentar, mas vou deixar ca a minha opinao tambem.
> >       Quanto ao administrador ter amigos e esses pedir favores etc...,
> não
> > acho isso muito ético, se ele não for um bom profissional então nao sera
> > de todo um bom administrador portanto não servirá para o trabalho.
> >       Em relação ao fulano descobrir a password de acesso ao banco para
> o
> > poder copiar, aí a coisa fica pior, pois nao sera apenas o banco a ficar
> > em check mas sim todo o sistema.
> >       Conclusão, como ja foi dito deveremos acionar todos os sistemas de
> > segurança que o Firebird nos proporciona Aliases, Alterar a password do
> > SYSDBA, bloquear acesso ao banco, etc.., depois de tudo certinho acho
> > muito difícil mas muito difícil mesmo alguem contornar a segurança.
> >
> >       Claro que nao vamos voltar ao mesmo o Administrador tem amigos
> etc..,
> > se assim for vamos ficar aqui eternamente,porque voltamos sempre ao
> mesmo.
> >
> >       No meu caso Uso Opensuse 10 64 bits nos servidores as passwords de
> > acesso ao servidor como o root e outros que tenham privilegios de
> > administração ficam comigo e nem sequer são entregues aos clientes,
> > ou seja ali só eu mecho e mais ninguém.
> >
> >       Gostaria de ver alguem a tentar fuçar um servidor meu para ver se
> > conseguia alguma coisa.
> >
> >       É tudo muito bonito quando se sabe a password e tem acesso directo
> ao
> > banco, fora isso, aqui ponho um desafio.
> >
> >       Posso disponiblizar um servidor na net para quem quiser tentar
> aceder a
> > um dos meus bancos, se alguem quiser tentar que poste aqui.
> >
> >       Obrigado a todos por me deixarem expressar a minha opinião.
> >
> >
> > Alberto Brito
> >
> > Denis Pereira Raymundo escreveu:
> > >     A segurança do firebird diz que devemos proteger o local onde o
> banco de dados está. Até aí tudo bem. Fazendo testes, vi que o firebird não
> aceita fazer um backup de um disco para o outro, ótimo. Mas percebi uma
> coisa que parece ser uma brecha a isso:
> > >
> > >     Mesmo se eu não possuir acesso físico ao banco, mas possuir
> direito de acesso a alguma pasta nesse servidor e souber a senha do SYSDBA,
> posso fazer um backup para a minha pasta e aí blau blau...
> > >
> > >     Denis Pereira Raymundo
> > > ______________________________________________
> > > FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> > > Para editar sua configuração na lista, use o endereço
> http://mail.firebase.com.br/mailman/listinfo/lista_firebase.com.br
> > > Para consultar mensagens antigas: http://firebase.com.br/pesquisa
> > >
> >
> >
> > ______________________________________________
> > FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> > Para editar sua configuração na lista, use o endereço
> http://mail.firebase.com.br/mailman/listinfo/lista_firebase.com.br
> > Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para editar sua configuração na lista, use o endereço
> http://mail.firebase.com.br/mailman/listinfo/lista_firebase.com.br
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>



-- 

Atenciosamente, Luiz Eduardo.

================================
>> Desenvolvimento de Sistemas PHP, Delphi e ASP.NET

>> Manutenção em Base de Dados MySQL , Interbase/Firebird e MS Access,
PostgreSQL e SQL Server ...

Fone: (12) 8143-7191
email alternativo: luizeof.sistemas em gmail.com

================================

Mais detalhes sobre a lista de discussão lista