[firebase-br] RES: RES: Segurança

Rafael Padilla eng.rafaelpadilla em gmail.com
Ter Ago 18 14:29:30 -03 2009


Gostei de conhecer as soluções que o pessoal utiliza para impedir a cópia do
banco!
E quanto a segurança dos dados do banco em um servidor web?

Eu estou hospedando um site em um servidor profissional, em uma empresa de
confiança. Lógico que nada é 100% seguro, mas teria como algum usuário via
web fazer uma conexão com a minha base via web e roubar meus dados?

Att,

Rafael

2009/8/18 Luis <luisfirevb em gmail.com>

> Esse assunto segurança é muito interessante e importante, mas pelo que
> vemos
> há mais vulnerabilidades do que soluções.
>
> Já vi gente fazendo muitas gambiarras, mas nenhuma solução profissional ou
> que resolva de forma satisfatória para uma aplicação multiusuários.
>
> Alternativas Diversas que Já Ví:
>
> 1- Em aplicações multiusuário, geralmente de criptografava todos os dados
> importantes.
>
>  Problemas: As pesquisas a estas informações, ficava impossibilitada. Para
> alguns tipos de pesquisa, ainda era possível, porém era preciso primeiro
> realizar a criptografia do dado desejado para posterior pesquisa. Contudo
> isso só era possível a nível de strings e sem comparações de intervalos,
> somente dados específicos para igualdade. Então datas, valores eram
> inviáveis.
>
> 2- já ouvi comentários de aplicações que realizavam o seguinte:
>  - tinham dois bancos de dados, um no servidor comum e outro em servidor
> protegido (sem acesso por funcionários, digamos trancado como foi
> comentado).
>  - a aplicação gravava os dados no banco 1 (servidor comum) e os mesmos
> dados no servidor protegido com um log de usuário (ação, data e
> responsável).
>  - caso o banco 1 fosse alterado por outro aplicativo que não o principal,
> mesmo pelo gerenciador dele, então as informações não eram replicadas ao
> segundo banco protegido e não haveria nenhum arquivo de log correspondente.
>  - na aplicação eram avaliadas as informações com base na comparação de
> ambos os bancos, se houvesse divergência, as informações consideradas eram
> sempre as do banco protegido, de modo a sobrepor as do banco 1 (comum).
>  - eram criadas triggers no banco comum, de modo que tudo que fosse feito
> nele sem ser pelo aplicativo principal, iria disparar essas triggers
> gerando
> um arquivo de log em outro lugar, com os dados do usuário conectado, dia,
> hora e alteração. Isso até poderia ajudar, mas não era 100% confiável, pois
> quem conhece bem programação e o banco usado, poderia desativar as triggers
> antes de realizar as alterações, consultas, etc...
>
>  Problemas: perda de desempenho, em função de dupla consulta em servidores
> diferentes, comparação de dados para cada registro em ambos os bancos. Não
> era possível identificar de modo 100% confiável o autor das modificações ou
> consultas, em função do acesso por outro software que não o aplicativo
> padrão.
>
> 3- Já vi para aplicações desktop, monousuário, usar MSAccess e a aplicação
> ao finalizar alterava em modo binário o primeiro bit do EXE, assim o Access
> não reconhecia mais o arquivo como sendo seu e ninguém conseguiria abri-lo
> ou saber qual seu gerenciador (de arquivos nesse caso). Quando a aplicação
> acessava o MDB ela revertia o primeiro bit e pronto, acesso resolvido.
>
>  Problemas: Sistema monousuário (local) e se travasse o micro ou fosse
> desligado (falta de energia) o banco poderia não estar mais protegido,
> ficando então disponível para qualquer um. Quando a base estava em uso, era
> possível descobrir que se tratava de um arquivo do Access.
>
>
> Luis
>
>
>
> -----Mensagem original-----
> De: lista-bounces em firebase.com.br [mailto:lista-bounces em firebase.com.br]
> Em
> nome de Felix
> Enviada em: terça-feira, 18 de agosto de 2009 13:38
> Para: 'FireBase'
> Assunto: [firebase-br] RES: Segurança
>
> Você quer impedir que alguém abra sua base de dados, correto?
>
> A única forma verdadeira é fazer a segurança física: o servidor deverá
> ficar
> em uma sala trancada.
>
> Até o momento NÃO HÁ uma maneira definitiva para assegurar seus dados se
> eles estiverem em uma máquina que o operador tenha acesso as pastas /
> arquivos.
>
> Fco. Felix
> Desenvolvimento de Sistemas
> www.soltecnologia.com.br
>
> -----Mensagem original-----
> De: lista-bounces em firebase.com.br [mailto:lista-bounces em firebase.com.br]
> Em
> nome de Contabiliza - Cristiano
> Enviada em: terça-feira, 18 de agosto de 2009 10:43
> Para: 'FireBase'
> Assunto: [firebase-br] Segurança
>
> Como faço para travar todas a pessoas que queiram abrir meu arquivo de
> banco
> de dados fdb em algum sistema gerenciador de banco de dados
>
>
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use:
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>



Mais detalhes sobre a lista de discussão lista