[firebase-br] RES: RES: RES: RES: Segurança

João Dias jdias.bjsoftware em gmail.com
Qua Ago 19 09:56:27 -03 2009


Vi durante certo tempo a discussão e não quis me posicionar mas vendo o 
conteúdo de algumas mensagens nesta thread tive que colocar minha 
opinião em foco

Segurança é algo primordial, todos já o disseram, todos ressaltaram sua 
importância. Mas o fato é: Segurança em que sentido? A responsabilidade 
em uma equipe de TIC torna-se do DBA (Sim senhores ele existe também 
para isso) junto aos administradores de sistema alterando as diretivas 
de segurança de um BOM sistema operacional (Além de se possível e 
necessário trancar a sala do servidor, colocar cadeado, cachorro, sensor 
de presença e o escambau). Se o cliente não tem uma equipe com DBA e 
Administrador de Sistemas (Geralmente alguns tem um só que é os dois ao 
mesmo tempo e não ganha acúmulo de funções como no senado e outras 
repartições públicas), o que posso entender é que os seus dados não são 
tão confidenciais assim e ou mesmo que seja o cliente não está disposto 
ou não pode pagar pelo SERVIÇO (Ou palavrinha interessante!..) de segurança

Quando ao fato do Firebird não ter recurso "A" ou não ter recurso "B", 
lembremos-nos que ele não é um "Banco Free", o Firebird é um SGBD Open 
Source, mantido pela comunidade (Que aliás precisa de doações para 
manter o Roadmap de desenvolvimento) e tem seu código aberto, ou seja, 
Precisas de tal recurso peão? Baixe o código, estude, modifique a seu 
bel-prazer, supra suas necessidades, poste para a comunidade suas 
mudanças ou então pague alguém que o faça para você..


Esses são meus 0,01 % sobre o assunto

-- 
João Dias de Carvalho Neto
jdias.bjsoftware em gmail.com

Quer Artigos de Patterns GOF e Patterns Corporativos com vídeo aula e Fontes Demonstrativos?
vá a http://www.jdiasneto.blogspot.com



Renato André escreveu:
> Segurança é algo fundamental, de suma importância, geralmente as 
> empresas guardam em seus bancos de dados informações de sua gestão e 
> dados sigilosos, eu utilizo o firebird a algum tempo, gosto do banco 
> de dados, é bom, é gratuito, mas não sou torcedor, sou técnico, 
> preciso do banco de dados mas reconheço que o firebird ainda tem muito 
> o que melhorar em matéria de segurança, poderia ter uma melhor 
> política de restrições, induzir o usuário na instalação mudar a senha 
> default, ter uma metodologia de criptografia própria, não permitir que 
> uma pessoa pegasse o banco em que a senha default foi alterada e levar 
> esse banco para uma outra máquina contendo o firebird e abrir essa 
> base... vejo muito sistema sendo comercializado com o usuário e a 
> senha padrão, o desenvolvedor cria o sistema, cobra e entrega ao 
> usuário e vai embora deixando um sistema vulnerável na mão de um 
> usuário que não é técnico e nem é obrigado a saber sobre o firebird. O 
> fato do desenvolvedor mudar a senha padrão e avisa ao usuário sobre 
> politicas de segurança como informado abaixo está correto, até porque 
> não podemos fazer muito além disso, mas que poderíamos ter mais 
> recursos isso sim, poderíamos. Essa é minha opinião, gosto do 
> firebird, faço parte da lista, não estou aqui pra ficar malhando e não 
> estou, so que sinto essa necessidade de mais recursos no sentiodo de 
> segurança.
>
> Renato André
>
>
>
> ----- Original Message ----- From: "Felix" <felix2005 em oi.com.br>
> To: "'FireBase'" <lista em firebase.com.br>
> Sent: Tuesday, August 18, 2009 10:24 PM
> Subject: [firebase-br] RES: RES: RES: RES: Segurança
>
>
> Segurança para base de dados é um assunto muito complexo.
>
> Por exemplo, eu gostaria de proteger a base para impedir que um usuário
> tivesse chance de adulterar os registros, excluir lançamentos de contas a
> receber (e embolsar o dinheiro), mudar quantidades em estoque (e levar o
> produto para casa), etc - sim, eu sei que o usuário teria que 
> 'estudar' para
> abrir uma base Firebird com flamerobin ou qq outra ferramenta.
>
> MAS: se eu bloquear a base a empresa ficaria a minha mercê! Não poderia
> migrar os dados (que são propriedade da empresa) sem minha autorização ou
> consentimento!
>
> Eu poderia 'chantagear' a empresa, cobrando um 'extra' para exportar a 
> base.
>
> Da maneira como é hoje: o cliente é o responsável pela segurança dos
> arquivos de dados. Se ele quiser 100% de segurança basta colocar um 
> servidor
> numa sala trancada ou num rack com chave.
>
> Basta deixar claro para o cliente o que ele DEVE fazer e o que nós 
> PODEMOS
> oferecer.
>
> Fco. Felix
> Desenvolvimento de Sistemas
> www.soltecnologia.com.br
>
> -----Mensagem original-----
> De: lista-bounces em firebase.com.br 
> [mailto:lista-bounces em firebase.com.br] Em
> nome de Eduardo Jedliczka
> Enviada em: terça-feira, 18 de agosto de 2009 22:04
> Para: Carlos H. Cantu; FireBase
> Assunto: Re: [firebase-br] RES: RES: RES: Segurança
>
> além do mais, dá para se conectar com o outro usuário, com a mesma
> fragilidade (eu já precisei abrir um banco com a role de sysdba e nao
> perdi mais do que 10 minutos para descobrir o nome do owner da base)
>
> e tem mais, uma ROLE com o nome SYSDBA não funciona no firebird 2.1
>
> Abraço
>
> Em Ter, 2009-08-18 às 16:04 -0300, Carlos H. Cantu escreveu:
>
>> O problema dessa gambiarra eh que eh muito facil remover o role
>> criado.
>>
>> Pesquise as mensagens antigas na lista que isto já foi discutido.
>>
>> []s
>> Carlos H. Cantu
>> www.FireBase.com.br - www.firebirdnews.org
>> www.warmboot.com.br - blog.firebase.com.br
>>
>> HEP> A tempo pesquisei sobre este assunto, achei algo, que parece
> interessante,
>> HEP> era algo assim...
>>
>> HEP> Crie um usuário no security.fdb (ex: user: admin e senha:  admin)
>> HEP> gsec -user sysdba -pas masterkey -add admin -pw admin
>>
>> HEP> Crie uma Base de Dados com este usuário
>>
>> HEP> Logue na Base criada com este user e crie uma role com nome de 
>> Sysdba
>>
>> HEP> Assim qdo alguem copiar o banco para outro server que ele saiba a
> senha
>> HEP> do sysdba ira aparecer um erro e o Sysdba nao conecta. Nao fiz 
>> testes
>> HEP> afundo...
>> HEP> Ta ai a dica, a quem interessar poste os resultados depois.
>>
>>
>> HEP> 2009/8/18 Rodolpho da Silva <nascimento em gko.com.br>
>>
>> >> > 100% confiável, 100% de performance, 100% mesmo? Somente servidor
>> >> > fisicamente protegido...
>> >>
>> >> Disse tudo....
>> >>
>> >> Rodolpho da Silva
>> >> www.essencialcode.com.br
>> >>
>> >>
>> >>
>> >>  ----- Original Message -----
>> >>  From: Felix
>> >>  To: 'FireBase'
>> >>  Sent: Tuesday, August 18, 2009 2:41 PM
>> >>  Subject: [firebase-br] RES: RES: RES: Segurança
>> >>
>> >>
>> >>  Boas idéias... mas...
>> >>
>> >>  1. Perda de performance
>> >>  2. Perda de performance
>> >>  3. Chances de corrupção da base
>> >>
>> >>  Eu tentei criar usuários, mudar senha, etc etc. Nada adiantaria.
> Bastou
>> >>  copiar a base para outro micro com um Firebird 'limpo', criar o
> usuário
>> >> que
>> >>  existia no Firebird original e... acesso completo!
>> >>
>> >>  100% confiável, 100% de performance, 100% mesmo? Somente servidor
>> >>  fisicamente protegido...
>> >>
>> >>
>> >>
>> >>
> ---------------------------------------------------------------------------- 
>
> -- 
>> >>
>> >>
>> >>
>> >>  No virus found in this incoming message.
>> >>  Checked by AVG - www.avg.com
>> >>  Version: 8.5.392 / Virus Database: 270.13.60/2311 - Release Date:
> 08/18/09
>> >> 06:03:00
>> >> ______________________________________________
>> >> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>> >> Para saber como gerenciar/excluir seu cadastro na lista, use:
>> >> http://www.firebase.com.br/fb/artigo.php?id=1107
>> >> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>> >>
>>
>>
>>
>>
>> ______________________________________________
>> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>> Para saber como gerenciar/excluir seu cadastro na lista, use:
> http://www.firebase.com.br/fb/artigo.php?id=1107
>> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use:
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use: 
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use: 
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa





Mais detalhes sobre a lista de discussão lista