[firebase-br] RES: RES: RES: RES: Segurança

Renato André renato em keninfo.com.br
Qua Ago 19 11:04:30 -03 2009 

Cuidado como fala João, aqui no forum a gente procura se tratar com 
respeito, pelo menos é assim que vejo ocorrer, e é assim que procedo... não 
sou peão e não sei de onde tirou isso...  então vamos lá ... conclusão... 
pessoal aqui então está proibido qualquer observação contra o firebird, está 
vetado, quem quiser que baixe o código e mude, não pode fazer nenhuma 
observação desfavorável... quer que o firebird seja mais rapido pela 
internet? Não fique votando...baixe e mude o código... quer que aqueles bugs 
que estão lá no site para serem consertados nas novas versões seja feito? 
Baixe o código e mude... entendi... obrigado.


----- Original Message ----- 
From: "João Dias" <jdias.bjsoftware em gmail.com>
To: "FireBase" <lista em firebase.com.br>
Sent: Wednesday, August 19, 2009 9:56 AM
Subject: Re: [firebase-br] RES: RES: RES: RES: Segurança


Vi durante certo tempo a discussão e não quis me posicionar mas vendo o
conteúdo de algumas mensagens nesta thread tive que colocar minha
opinião em foco

Segurança é algo primordial, todos já o disseram, todos ressaltaram sua
importância. Mas o fato é: Segurança em que sentido? A responsabilidade
em uma equipe de TIC torna-se do DBA (Sim senhores ele existe também
para isso) junto aos administradores de sistema alterando as diretivas
de segurança de um BOM sistema operacional (Além de se possível e
necessário trancar a sala do servidor, colocar cadeado, cachorro, sensor
de presença e o escambau). Se o cliente não tem uma equipe com DBA e
Administrador de Sistemas (Geralmente alguns tem um só que é os dois ao
mesmo tempo e não ganha acúmulo de funções como no senado e outras
repartições públicas), o que posso entender é que os seus dados não são
tão confidenciais assim e ou mesmo que seja o cliente não está disposto
ou não pode pagar pelo SERVIÇO (Ou palavrinha interessante!..) de segurança

Quando ao fato do Firebird não ter recurso "A" ou não ter recurso "B",
lembremos-nos que ele não é um "Banco Free", o Firebird é um SGBD Open
Source, mantido pela comunidade (Que aliás precisa de doações para
manter o Roadmap de desenvolvimento) e tem seu código aberto, ou seja,
Precisas de tal recurso peão? Baixe o código, estude, modifique a seu
bel-prazer, supra suas necessidades, poste para a comunidade suas
mudanças ou então pague alguém que o faça para você..


Esses são meus 0,01 % sobre o assunto

-- 
João Dias de Carvalho Neto
jdias.bjsoftware em gmail.com

Quer Artigos de Patterns GOF e Patterns Corporativos com vídeo aula e Fontes 
Demonstrativos?
vá a http://www.jdiasneto.blogspot.com



Renato André escreveu:
> Segurança é algo fundamental, de suma importância, geralmente as empresas 
> guardam em seus bancos de dados informações de sua gestão e dados 
> sigilosos, eu utilizo o firebird a algum tempo, gosto do banco de dados, é 
> bom, é gratuito, mas não sou torcedor, sou técnico, preciso do banco de 
> dados mas reconheço que o firebird ainda tem muito o que melhorar em 
> matéria de segurança, poderia ter uma melhor política de restrições, 
> induzir o usuário na instalação mudar a senha default, ter uma metodologia 
> de criptografia própria, não permitir que uma pessoa pegasse o banco em 
> que a senha default foi alterada e levar esse banco para uma outra máquina 
> contendo o firebird e abrir essa base... vejo muito sistema sendo 
> comercializado com o usuário e a senha padrão, o desenvolvedor cria o 
> sistema, cobra e entrega ao usuário e vai embora deixando um sistema 
> vulnerável na mão de um usuário que não é técnico e nem é obrigado a saber 
> sobre o firebird. O fato do desenvolvedor mudar a senha padrão e avisa ao 
> usuário sobre politicas de segurança como informado abaixo está correto, 
> até porque não podemos fazer muito além disso, mas que poderíamos ter mais 
> recursos isso sim, poderíamos. Essa é minha opinião, gosto do firebird, 
> faço parte da lista, não estou aqui pra ficar malhando e não estou, so que 
> sinto essa necessidade de mais recursos no sentiodo de segurança.
>
> Renato André
>
>
>
> ----- Original Message ----- From: "Felix" <felix2005 em oi.com.br>
> To: "'FireBase'" <lista em firebase.com.br>
> Sent: Tuesday, August 18, 2009 10:24 PM
> Subject: [firebase-br] RES: RES: RES: RES: Segurança
>
>
> Segurança para base de dados é um assunto muito complexo.
>
> Por exemplo, eu gostaria de proteger a base para impedir que um usuário
> tivesse chance de adulterar os registros, excluir lançamentos de contas a
> receber (e embolsar o dinheiro), mudar quantidades em estoque (e levar o
> produto para casa), etc - sim, eu sei que o usuário teria que 'estudar' 
> para
> abrir uma base Firebird com flamerobin ou qq outra ferramenta.
>
> MAS: se eu bloquear a base a empresa ficaria a minha mercê! Não poderia
> migrar os dados (que são propriedade da empresa) sem minha autorização ou
> consentimento!
>
> Eu poderia 'chantagear' a empresa, cobrando um 'extra' para exportar a 
> base.
>
> Da maneira como é hoje: o cliente é o responsável pela segurança dos
> arquivos de dados. Se ele quiser 100% de segurança basta colocar um 
> servidor
> numa sala trancada ou num rack com chave.
>
> Basta deixar claro para o cliente o que ele DEVE fazer e o que nós PODEMOS
> oferecer.
>
> Fco. Felix
> Desenvolvimento de Sistemas
> www.soltecnologia.com.br
>
> -----Mensagem original-----
> De: lista-bounces em firebase.com.br [mailto:lista-bounces em firebase.com.br] 
> Em
> nome de Eduardo Jedliczka
> Enviada em: terça-feira, 18 de agosto de 2009 22:04
> Para: Carlos H. Cantu; FireBase
> Assunto: Re: [firebase-br] RES: RES: RES: Segurança
>
> além do mais, dá para se conectar com o outro usuário, com a mesma
> fragilidade (eu já precisei abrir um banco com a role de sysdba e nao
> perdi mais do que 10 minutos para descobrir o nome do owner da base)
>
> e tem mais, uma ROLE com o nome SYSDBA não funciona no firebird 2.1
>
> Abraço
>
> Em Ter, 2009-08-18 às 16:04 -0300, Carlos H. Cantu escreveu:
>
>> O problema dessa gambiarra eh que eh muito facil remover o role
>> criado.
>>
>> Pesquise as mensagens antigas na lista que isto já foi discutido.
>>
>> []s
>> Carlos H. Cantu
>> www.FireBase.com.br - www.firebirdnews.org
>> www.warmboot.com.br - blog.firebase.com.br
>>
>> HEP> A tempo pesquisei sobre este assunto, achei algo, que parece
> interessante,
>> HEP> era algo assim...
>>
>> HEP> Crie um usuário no security.fdb (ex: user: admin e senha:  admin)
>> HEP> gsec -user sysdba -pas masterkey -add admin -pw admin
>>
>> HEP> Crie uma Base de Dados com este usuário
>>
>> HEP> Logue na Base criada com este user e crie uma role com nome de 
>> Sysdba
>>
>> HEP> Assim qdo alguem copiar o banco para outro server que ele saiba a
> senha
>> HEP> do sysdba ira aparecer um erro e o Sysdba nao conecta. Nao fiz 
>> testes
>> HEP> afundo...
>> HEP> Ta ai a dica, a quem interessar poste os resultados depois.
>>
>>
>> HEP> 2009/8/18 Rodolpho da Silva <nascimento em gko.com.br>
>>
>> >> > 100% confiável, 100% de performance, 100% mesmo? Somente servidor
>> >> > fisicamente protegido...
>> >>
>> >> Disse tudo....
>> >>
>> >> Rodolpho da Silva
>> >> www.essencialcode.com.br
>> >>
>> >>
>> >>
>> >>  ----- Original Message -----
>> >>  From: Felix
>> >>  To: 'FireBase'
>> >>  Sent: Tuesday, August 18, 2009 2:41 PM
>> >>  Subject: [firebase-br] RES: RES: RES: Segurança
>> >>
>> >>
>> >>  Boas idéias... mas...
>> >>
>> >>  1. Perda de performance
>> >>  2. Perda de performance
>> >>  3. Chances de corrupção da base
>> >>
>> >>  Eu tentei criar usuários, mudar senha, etc etc. Nada adiantaria.
> Bastou
>> >>  copiar a base para outro micro com um Firebird 'limpo', criar o
> usuário
>> >> que
>> >>  existia no Firebird original e... acesso completo!
>> >>
>> >>  100% confiável, 100% de performance, 100% mesmo? Somente servidor
>> >>  fisicamente protegido...
>> >>
>> >>
>> >>
>> >>
> ----------------------------------------------------------------------------
>
> -- 
>> >>
>> >>
>> >>
>> >>  No virus found in this incoming message.
>> >>  Checked by AVG - www.avg.com
>> >>  Version: 8.5.392 / Virus Database: 270.13.60/2311 - Release Date:
> 08/18/09
>> >> 06:03:00
>> >> ______________________________________________
>> >> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>> >> Para saber como gerenciar/excluir seu cadastro na lista, use:
>> >> http://www.firebase.com.br/fb/artigo.php?id=1107
>> >> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>> >>
>>
>>
>>
>>
>> ______________________________________________
>> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>> Para saber como gerenciar/excluir seu cadastro na lista, use:
> http://www.firebase.com.br/fb/artigo.php?id=1107
>> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use:
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use: 
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use: 
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa


______________________________________________
FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
Para saber como gerenciar/excluir seu cadastro na lista, use: 
http://www.firebase.com.br/fb/artigo.php?id=1107
Para consultar mensagens antigas: http://firebase.com.br/pesquisa

Mais detalhes sobre a lista de discussão lista