[firebase-br] Bloqueio de Acesso Banco de Dados
Carlos H. Cantu
listas em warmboot.com.br
Quinta Maio 12 02:18:30 -03 2022
Você pode implementar a criptografia de forma praticamente transparente, usando
o plugin da IBSurgeon.
Dê uma olhada no artigo https://www.firebase.com.br/artigo.php?id=3174
[]s
Carlos H. Cantu
eBook Guia de Migração para o FB 4 - www.firebase.com.br/guiafb4.php
www.FireBase.com.br - www.firebirdnews.org - blog.firebase.com.br
VDvl> Bom dia,
VDvl> Gostaria de abordar a questão de acesso de usuários aos dados de um banco de dados Firebird.
VDvl> Estamos da questão de segurança de dados de BD Firebird em que a
VDvl> principal premissa é que usuário não autorizado não deve ter acesso ao arquivo de dados.
VDvl> Até aí tudo certo.
VDvl> O problema vem quando um usuário, acha que entende de programação, e vai
VDvl> lá no banco de dados e altera/insere dados através de um software de terceiros (IBExpert, por exemplo).
VDvl> Por exemplo, nosso sistema é distribuído a nível nacional. Muito usuário
VDvl> quer fazer operações em massa nos dados (excluir, alterar e/ou incluir dados).
VDvl> Obviamente que esse procedimento, se feito sem conhecimento/supervisão do
VDvl> desenvolvedor, é muito perigoso e pode acabar com toda integridade dos dados de uma ou mais tabelas.
VDvl> Apesar de chaves que se pode incluir do banco, mas não é possível
VDvl> controlar tudo que o usuário venha a "fuçar" nos dados
VDvl> Aí alguém vai dizer: "...mas se o usuário fizer isso e depois der
VDvl> problemas, é responsabilidade dele...". Concordo plenamente com isso. O
VDvl> problema é você (desenvolvedor) provar para ele isso depois.
VDvl> O cara mexe nos dados lá fazendo um update em alguma tabela e isso,
VDvl> certamente, em algum momento, vai "bagunçar" os dados ou, pelo menos, trazer relatórios inconsistentes.
VDvl> Quando o problema ocorrer, esse usuário sequer vai lembrar que fez aquela
VDvl> lambança nos dados e vai cobrar de quem? Do desenvolvedor.
VDvl> Aí é que vem o maior problema: não há como se provar isso ao usuário que
VDvl> ele fez determinada operação no BD através de outra ferramenta (IBExpert ou outra).
VDvl> No Firebird 2.5 temos uma role SYSDBA que bloqueia o acesso do usuário
VDvl> SYSDBA e, dessa forma, conseguimos impedir que 99% dos usuários mexam no banco.
VDvl> Sim, estamos cientes também que essa role é facilmente contornada
VDvl> alterando o arquivo com um software que leia dados hexadecimal. Mas isso
VDvl> precisaria de um TI com bom conhecimento na área.
VDvl> Numa média geral, apenas 1% dos usuários conseguem fazer essa exclusão da
VDvl> role. Então, com essa role, esse problema de usuário mexer no BD é evitado em 99% dos casos.
VDvl> Não é perfeito, mas evita muuuuuuita "dor de cabeça".
VDvl> No Firebird 3.0 ou superior, nem essa role não é mais possível usar.
VDvl> O que poderia ser feito para minimizar esse problema no FB 3 ou superior?
VDvl> Já analisamos a questão da criptografia, mas é um pouco complexa na
VDvl> implementação e manutenção, em especial num sistema como o nosso, que tem
VDvl> usuários de todos os níveis de conhecimento. Além disso, se o usuário
VDvl> restaurar um backup, já será anulada a criptografia.
VDvl> Desculpem, o texto longo, mas queria detalhar bem a situação.
VDvl> Se alguém puder me ajudar com sua opinião/experiência sobre o assunto...
VDvl> Obrigado!
VDvl> Cordialmente Financeiro
VDvl> ------------------------------------------------------------------------
VDvl> /Cordialmente
VDvl> Valdir Dill
VDvl> /
VDvl> ______________________________________________
VDvl> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
VDvl> Para saber como gerenciar/excluir seu cadastro na lista, use:
VDvl> http://www.firebase.com.br/fb/artigo.php?id=1107
VDvl> Para consultar mensagens antigas: http://www.firebase.com.br/pesquisa_lista.html
Mais detalhes sobre a lista de discussão lista