[firebase-br] SYSDBA Cracked

Vailton Renato vailtom em gmail.com
Seg Jul 7 17:14:17 -03 2014 

Olá,

Eu concordo que se um cliente possui uma necessidade real de proteger seus
dados ele vai concordar em desenvolver e manter uma boa política para isto
o que nunca deve ser responsabilidade do developer. O que pode (mas não se
limitaria apenas a isto) envolver a proteção aos arquivos do banco contra
acesso não autorizado, o que muitas vezes envolve mais questões de SO do
que o próprio FB.

Mas em casos como o seu, onde dados críticos são armazenados no banco sem
criptografia, via software eu criprografo tais dados e salvo-os no banco e
realizo a operação inversa ao recuperá-los.

Mas concordo que uma criptografia nativa seria muito bem vinda.

Att.
Vailton Renato


Em 7 de julho de 2014 17:01, Paulo (O2 Tecnologia) <
paulo em o2tecnologia.com.br> escreveu:

>
> No firebird não existe criptografia da forma que deseja, se seu ambiente é
> assim tão "prostituido" aonde até um "garoto de 10 anos" tem acesso ao
> banco de dados físico, recomendo optar por outras soluções, SQLServer
> Express, Oracle Express, e até o SQLite se houver versão gratuita. Em meus
> clientes o banco de dados é acessado somente via sistema, as manipulações
> junto ao banco são mínimas, e geralmente pelo meu pessoal de
> desenvolvimento, e somente 2 ou 3 individuos geralmente tem acesso ao banco
> de dados FISICO nas empresa, e justamente para fazer os backups, as portas
> do banco de dados não são liberadas para fora somente para rede fria.
>
> Não armazenamos dados de cartão de crédito, e nem alguma informação que
> seja tão valiosa que demande tantos cuidados, ainda sim são dados da
> empresa (Emissões, Faturamento entre outros), então no nosso caso não
> sentimos ainda a necessidade de tal processo, mas vale lembraque é sabido
> que 90% das quebras de segurança vem de dentro da própria empresa, então
> por mais que faça sempre vai ter um "excomungado" que vai bular o que
> previu.
>
>
>
>
> Em 07/07/2014 16:22, Qatan escreveu:
>
>  Acesso fácil? Até um menino de 10 anos pode pegar o arquivo!
>> Tem que ter criptografia!!! Veja como funciona com o SQLite:
>> www.sqlcipher.net
>> Dá uma estudada, é muito "simples"... o banco de dados inteiro fica
>> criptografado. Não é somente o conteúdo que fica criptografado.
>> A criptografica é AES 256, ou seja, quase inquebrável...
>> Note que nenhum programa para edição de SQLite consegue nem mesmo
>> reconhecer que é um banco de dados SQLite... isso é que eu chamo de
>> criptografia segura.
>> Outra coisa, o programa, que tem a chave é claro, consegue abrir e tudo
>> funciona normal como se nem existisse a criptografia, tudo é completamente
>> automático, só tem um comando SQL para dizer qual é a chave da criptografia
>> e pronto, tudo funciona normal, e mesmo quando o programa está usando o
>> banco, fica criptografado para qualquer outra pessoa, não tem como ver os
>> dados, eu acho simplesmente excelente!
>> Bem, mas no nosso caso, pelo visto não tem nada semelhante... certo?
>> Estou perguntando pois comecei esta semana com Firebird, estou gostando
>> mas essa parte de não ter criptografia está matando meu projeto...
>> Obrigado pela participação
>>
>> Qatan
>>
>>
>>
>> Entendi, no seu caso o sistema é interno, e de sua responsabilidade,
>> ainda sim acho que criptografia é para ser usada em casos extremos e
>> para casos específicos, valendo pensar COMO SERÁ FEITO ACESSO A BASE ?
>> USUARIOS PODERÃO MANIPULAR DIRETAMENTE O BANCO ?   O ARQUIVO FISICO TEM
>> ACESSO FÁCIL ?
>>
>> Porque dependendo da resposta, ai sim, haveria a necessidade de
>> bloqueios radicais.
>>
>>
>>
>> Em 07/07/2014 15:31, Qatan escreveu:
>>
>>> Olá Paulo,
>>>
>>>  A meu ver é mais uma questão de segurança do servidor do banco de
>>>> dados, vou seguir meu caso, desenvolvo para terceiros, o banco de dados é
>>>> propriedade do cliente, é ele quem tem cuidar da segurança do mesmo, se ele
>>>> deixa qualquer ter acesso ao arquivo físico, isto é, entrar no servidor são
>>>> os dados dele que estarão em risco, fora isso é criado uma senha para
>>>> acesso ao banco, se ele libera para qualquer um, voltamos a questão dos
>>>> dados são dele, e o risco também.
>>>>
>>>> Resumindo, senhas servem para inibir, mas se não usadas com
>>>> responsabilidade, não tem valia alguma.
>>>>
>>>> Mesma coisa em outros bancos se a pessoa tiver em mãos o arquivo
>>>> físico, com senhas master terão como manipular os dados.
>>>>
>>>
>>> Compreendo sua posição e acho interessante mas no meu caso específico eu
>>> sinto que a responsabilidade pela segurança é minha.
>>> O usuário é quem vai ser prejudicado, mas quem tem que saber como
>>> proteger os dados sou eu. Não posso permitir que sejam tão facilmente
>>> violados...
>>> Como isso é possível? Até o SQLite tem uma criptografia violenta que não
>>> ví ninguém violar (www.sqlcipher.net)
>>> A boa notícia é que é possível que vai surgir algum tipo de criptografia
>>> em formato de plugin para o Firebird 3.0
>>> Acho que os desenvolvedores estão vendo o problema óbvio e estão
>>> planejando resolver isso.
>>>
>>> Obrigado pelo retorno e participação.
>>>
>>> Qatan
>>>
>>>
>>> ______________________________________________
>>> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>>> Para saber como gerenciar/excluir seu cadastro na lista, use:
>>> http://www.firebase.com.br/fb/artigo.php?id=1107
>>> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>>>
>>>
>>
>> ______________________________________________
>> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>> Para saber como gerenciar/excluir seu cadastro na lista, use:
>> http://www.firebase.com.br/fb/artigo.php?id=1107
>> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>>
>> ______________________________________________
>> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>> Para saber como gerenciar/excluir seu cadastro na lista, use:
>> http://www.firebase.com.br/fb/artigo.php?id=1107
>> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>>
>>
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use:
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>

Mais detalhes sobre a lista de discussão lista