[firebase-br] SYSDBA Cracked

Paulo (O2 Tecnologia) paulo em o2tecnologia.com.br
Seg Jul 7 17:01:45 -03 2014 

No firebird não existe criptografia da forma que deseja, se seu ambiente 
é assim tão "prostituido" aonde até um "garoto de 10 anos" tem acesso ao 
banco de dados físico, recomendo optar por outras soluções, SQLServer 
Express, Oracle Express, e até o SQLite se houver versão gratuita. Em 
meus clientes o banco de dados é acessado somente via sistema, as 
manipulações junto ao banco são mínimas, e geralmente pelo meu pessoal 
de desenvolvimento, e somente 2 ou 3 individuos geralmente tem acesso ao 
banco de dados FISICO nas empresa, e justamente para fazer os backups, 
as portas do banco de dados não são liberadas para fora somente para 
rede fria.

Não armazenamos dados de cartão de crédito, e nem alguma informação que 
seja tão valiosa que demande tantos cuidados, ainda sim são dados da 
empresa (Emissões, Faturamento entre outros), então no nosso caso não 
sentimos ainda a necessidade de tal processo, mas vale lembraque é 
sabido que 90% das quebras de segurança vem de dentro da própria 
empresa, então por mais que faça sempre vai ter um "excomungado" que vai 
bular o que previu.




Em 07/07/2014 16:22, Qatan escreveu:
> Acesso fácil? Até um menino de 10 anos pode pegar o arquivo!
> Tem que ter criptografia!!! Veja como funciona com o SQLite: 
> www.sqlcipher.net
> Dá uma estudada, é muito "simples"... o banco de dados inteiro fica 
> criptografado. Não é somente o conteúdo que fica criptografado.
> A criptografica é AES 256, ou seja, quase inquebrável...
> Note que nenhum programa para edição de SQLite consegue nem mesmo 
> reconhecer que é um banco de dados SQLite... isso é que eu chamo de 
> criptografia segura.
> Outra coisa, o programa, que tem a chave é claro, consegue abrir e 
> tudo funciona normal como se nem existisse a criptografia, tudo é 
> completamente automático, só tem um comando SQL para dizer qual é a 
> chave da criptografia e pronto, tudo funciona normal, e mesmo quando o 
> programa está usando o banco, fica criptografado para qualquer outra 
> pessoa, não tem como ver os dados, eu acho simplesmente excelente!
> Bem, mas no nosso caso, pelo visto não tem nada semelhante... certo?
> Estou perguntando pois comecei esta semana com Firebird, estou 
> gostando mas essa parte de não ter criptografia está matando meu 
> projeto...
> Obrigado pela participação
>
> Qatan
>
>
>
> Entendi, no seu caso o sistema é interno, e de sua responsabilidade,
> ainda sim acho que criptografia é para ser usada em casos extremos e
> para casos específicos, valendo pensar COMO SERÁ FEITO ACESSO A BASE ?
> USUARIOS PODERÃO MANIPULAR DIRETAMENTE O BANCO ?   O ARQUIVO FISICO TEM
> ACESSO FÁCIL ?
>
> Porque dependendo da resposta, ai sim, haveria a necessidade de
> bloqueios radicais.
>
>
>
> Em 07/07/2014 15:31, Qatan escreveu:
>> Olá Paulo,
>>
>>> A meu ver é mais uma questão de segurança do servidor do banco de 
>>> dados, vou seguir meu caso, desenvolvo para terceiros, o banco de 
>>> dados é propriedade do cliente, é ele quem tem cuidar da segurança 
>>> do mesmo, se ele deixa qualquer ter acesso ao arquivo físico, isto 
>>> é, entrar no servidor são os dados dele que estarão em risco, fora 
>>> isso é criado uma senha para acesso ao banco, se ele libera para 
>>> qualquer um, voltamos a questão dos dados são dele, e o risco também.
>>>
>>> Resumindo, senhas servem para inibir, mas se não usadas com 
>>> responsabilidade, não tem valia alguma.
>>>
>>> Mesma coisa em outros bancos se a pessoa tiver em mãos o arquivo 
>>> físico, com senhas master terão como manipular os dados.
>>
>> Compreendo sua posição e acho interessante mas no meu caso específico 
>> eu sinto que a responsabilidade pela segurança é minha.
>> O usuário é quem vai ser prejudicado, mas quem tem que saber como 
>> proteger os dados sou eu. Não posso permitir que sejam tão facilmente 
>> violados...
>> Como isso é possível? Até o SQLite tem uma criptografia violenta que 
>> não ví ninguém violar (www.sqlcipher.net)
>> A boa notícia é que é possível que vai surgir algum tipo de 
>> criptografia em formato de plugin para o Firebird 3.0
>> Acho que os desenvolvedores estão vendo o problema óbvio e estão 
>> planejando resolver isso.
>>
>> Obrigado pelo retorno e participação.
>>
>> Qatan
>>
>>
>> ______________________________________________
>> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>> Para saber como gerenciar/excluir seu cadastro na lista, use: 
>> http://www.firebase.com.br/fb/artigo.php?id=1107
>> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>>
>
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use: 
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use: 
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>

Mais detalhes sobre a lista de discussão lista