[firebase-br] RES: RES: Segurança : criar um novo usuário realmente ajuda?

Felix felix2005 em oi.com.br
Qui Jun 18 10:43:02 -03 2009 

Marcelo,

Sei que os dados informados são de propriedade do cliente, bem como a
responsabilidade pelo acesso aos mesmos.

O que eu gostaria era de propiciar uma maior segurança, impedindo que um
operador mal intencionado pudesse alterar diretamente os registros, sem usar
o aplicativo desenvolvido que contem as políticas sobre o que cada usuário
pode ou não fazer.

Não considero uma falha do FB em hipótese nenhuma. Esse tipo de abertura aos
dados existe em bancos DBF (para quem já usou Clipper), paradox (via Delphi)
etc etc.

O FB dispõe de segurança através de um servidor dedicado que fique com
acesso restrito, o que já é muito bom - mas não resolve o problema para o
cenário onde o cliente tem 1 único micro rodando XP.

Existe até a questão de um possível 'sumiço' do desenvolvedor - o cliente
não perde sua base de dados, uma vez que outra empresa pode construir
rotinas para importação do banco. Num travamento completo, com senha no
.FDB, o cliente ficaria a mercê do criador, uma situação bastante
complicada.

Vou abrir um novo tópico para saber como descobrir se o usuário fizer uma
alteração direta no banco.

Obrigado, Felix.

-----Mensagem original-----
De: lista-bounces em firebase.com.br [mailto:lista-bounces em firebase.com.br] Em
nome de Marcelo Geyer
Enviada em: quinta-feira, 18 de junho de 2009 10:07
Para: FireBase
Assunto: Re: [firebase-br] RES: Segurança : criar um novo usuário realmente
ajuda?

O ponto "X" da questão é não se responsabilizar pelos dados. Isso tem que
ficar muito bem claro no contrato. Você até pode implantar sistemas de alta
disponibilidade, backup, etc... mas garantir o acesso às informações, isso
não. Até porque a base de dados é do cliente, e não sua.

Abraços,

-- 
Marcelo E. Geyer
Standard Net Tecnologia e Informação

2009/6/17 Felix <felix2005 em oi.com.br>

> Senhores,
>
> Obrigado por todas as respostas: foi um tópico bastante movimentado.
>
> Ontem 16/06 estive off pq precisei viajar até um cliente e implantar nosso
> sistema. Justamente encontrei instalado um soft para ECF que já trabalhava
> com FB 2.1 e usava padrão SYSDBA. Micro desktop Windows, trabalhando
> independente, sem rede, nem servidor.
>
> Lendo todos os posts cheguei a conclusão: não adianta muito mexer no user
> do
> FB - o usuário sempre poderá instalar um aplicativo para visualizar /
> modificar os dados.
>
> Meu objetivo principal era impedir que um funcionário instalasse um
> utilitário qualquer, tipo flamerobin, e pudesse alterar algum valor sem
> estar registrado no sistema. Como um valor de duplicata, quantidade de
> estoque, etc. Sim, estou beirando a paranóia :-)
>
> Criptografar a base não é interessante: eu iria perder em performance.
>
> Fiquei até de madrugada pesquisando e vi que é algo previsto para versões
> futuras do FB. Vou aguardar então.
>
> Novamente, obrigado a todos.
>
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use:
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>
______________________________________________
FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
Para saber como gerenciar/excluir seu cadastro na lista, use:
http://www.firebase.com.br/fb/artigo.php?id=1107
Para consultar mensagens antigas: http://firebase.com.br/pesquisa

Mais detalhes sobre a lista de discussão lista