[firebase-br] Permissões SYSDBA
Gladiston Santana
gladiston em vidy.com.br
Qua Set 11 16:53:15 -03 2013
Voce leu a minha mensagem até o final, certo?
"Mesmo assim, saiba que com os programas certos é possível derrubar essa
proteção."
Ok, então.
Em outras palavras voce criou um crack para a base de dados.
Voce não conseguirá mais fazer isso no FB3, vem aí a criptografia tanto do
DB com secret key ou se preferir nos dados com funções especiais.
Estava interessado como eles fariam com uso de 'secret key' afinal se voce
coloca-a num arquivo de configuração, quem tiver acesso ao arquivo saberá
qual é ela, mas pelo que lí, voce poderá criar um programa, um helper que
fornecerá a 'secret key' com a qual o firebird terá acesso aos dados.
Assim, seu novo crack deverá ler o helper ao inves do db.
Em 11 de setembro de 2013 16:30, Sandro Souza
<escovadordebits em gmail.com>escreveu:
> Essa solução eu já quebrei.
>
> Uma equipe de uma empresa em que trabalhei precisou acessar dados de uma
> base em que foi aplicada essa solução do role com o nome de SYSDBA.
>
> Fiz um programa em Delphi para analisar a base de dados, e em questão de
> segundos eu consigo saber o nome do usuário que realmente consegue acessar
> a base de dados. E depois disso, o próprio programa já remove esse role,
> removendo assim essa semi-proteção.
>
> Só haverá realmente proteção se algum dia todos os dados de uma base feita
> em Firebird puderem ser criptografados e descriptografados de forma
> transparente pelo próprio Firebird, utilizando uma determinada string para
> criptografar e descriptografar os dados, fornecida como mais um parâmetro
> da conexão (que não existe hoje) e que não seja armazenada na própria base.
>
> Sem isso, nada mais vai resolver, principalmente por se tratar de um SGBD
> de código fonte aberto.
>
> Espero ter ajudado mais que atrapalhado. :D
>
>
> Em 11 de setembro de 2013 15:28, Gladiston Santana <gladiston em vidy.com.br>escreveu:
>
>> Dá uma googleada que voce acha a solução, é mais ou menos assim, voce cria
>> um outro usuario com superpoderes e acesso a role rdb$admin, depois cria
>> uma role chamada SYSDBA, isso fará com que o login ao seu banco de dados
>> não funcione com a conta SYSBA e para futuras emergencias possa ser usado
>> o
>> superusuario que voce criou no inicio.
>>
>> Mesmo assim, saiba que com os programas certos é possível derrubar essa
>> proteção.
>>
>
Mais detalhes sobre a lista de discussão lista