[firebase-br] Segurança de dados e estrutura, alguém se habilita?

Renato Bermudo renato em eficazinformatica.com.br
Qui Dez 4 15:11:20 -03 2008 

O assunto sobre segurança no Firebird já foi discutido várias vezes aqui na 
lista, mas em resumo não existe recurso de segurança embarcado no firebird 
como existe na versão atual do interbase.
Abaixo segue um trecho de e-mail que trata sobre criptografia e segurança 
enviado pelo Carlos H.Cantu para lista que explica porque ainda não foi 
implementado:

"A questão é que esse tipo de coisa não é tão fácil de ser implementada
no Firebird de forma segura, pois o FB é Open Source (o IB não). Ou
seja, qualquer um poderia baixar o código do FB e alterar o source
removendo as rotinas de checagem de segurança e acessar o seu banco.
Ou então, bastaria usar o servidor embedded (que não verifica
usuários) e acessar o banco.

De qualquer forma, o FB 3 provavelmente terá EUA, mas isso não vai
resolver o problema da segurança, pelos motivos descritos acima. Já
houve uma discussão sobre isso na fbdevel, e a conclusão que se chegou
é que implementar criptografia e segurança dentro do banco de forma
totalmente segura exigiria um grau de complexidade tão alto que a
maioria dos usuários simplesmente não iria usar."




----- Original Message ----- 
From: "André Geraldo dos Santos" <andre em modulartecnologia.com.br>
To: "FireBase" <lista em firebase.com.br>
Sent: Thursday, December 04, 2008 2:30 PM
Subject: [firebase-br] Segurança de dados e estrutura, alguém se habilita?



Caros Colegas,
Bom dia.


   Desenvolvo sistemas para automação de varejo e estou precisando
assegurar que terceiros não conseguirão invadir meu banco de dados, já
fiz todas as receitas de bolo disponíveis na net e ainda continuo tendo
problema.

   Hoje meu banco de dados é criado com um usuário específico e sempre
removo os grants do sysdba e ainda crio uma role negando o acesso ao
sysdba.

   Fiz alguns testes e percebi que o caso o espertão consiga acessar o
security.fdb ele pode criar outros usuários administrativos e ou até
mesmo visualizar os usuários que utilizo para acessar minhas bases e
trocar as senhas do mesmos.

   Com isso pensei em usar a mesma técnica da role ... mas caí na mesma
situação porque o espertão pode trocar o security.fdb e criar novos
usuários ou até mesmo o próprio sysdba.


   Gostaria de contar com a ajuda de vocês e acredito que muitos da lista
buscam soluções para os mesmos tipos de problema.

   Uso firebird 1.5 e futuramente pretendo trocar para o 2.0.x

Atenciosamente,

   André Geraldo dos Santos



______________________________________________
FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
Para saber como gerenciar/excluir seu cadastro na lista, use: 
http://www.firebase.com.br/fb/artigo.php?id=1107
Para consultar mensagens antigas: http://firebase.com.br/pesquisa

Mais detalhes sobre a lista de discussão lista