abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 03:11 | Zajímavý software

    Vývojáři dekompilátoru rev.ng otevřeli jeho backend revng-c. Zdrojové kódy jsou k dispozici na GitHubu.

    Ladislav Hagara | Komentářů: 0
    včera 22:44 | Komunita

    Poněvadž Redis už není svobodný, konsorcium Linux Foundation a Amazon Web Services (AWS), Google Cloud, Oracle, Ericsson a Snap Inc. společně představili svobodný fork Redisu s názvem Valkey.

    Ladislav Hagara | Komentářů: 8
    včera 18:55 | IT novinky

    Sam Bankman-Fried, zakladatel zkrachovalé kryptoměnové burzy FTX, byl dnes odsouzen k 25 letům vězení [Yahoo Finance].

    Ladislav Hagara | Komentářů: 3
    včera 18:33 | IT novinky Ladislav Hagara | Komentářů: 0
    včera 13:11 | Nová verze

    Byla vydána nová verze 2.53.18.2 svobodného multiplatformního balíku internetových aplikací SeaMonkey (Wikipedie). Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    včera 00:22 | Zajímavý článek

    Na blogu programovacího jazyka Swift byl publikován příspěvek Psaní aplikací pro GNOME v programovacím jazyce Swift. Používá se Adwaita pro Swift.

    Ladislav Hagara | Komentářů: 7
    27.3. 17:44 | Zajímavý software

    egui je GUI knihovna pro programovací jazyk Rust běžící na webu i nativně. Vydána byla verze 0.27.0.

    Ladislav Hagara | Komentářů: 0
    27.3. 16:22 | Nová verze

    Byla vydána nová verze 6.1 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.13. Thunderbird na verzi 115.9.0.

    Ladislav Hagara | Komentářů: 0
    27.3. 14:44 | IT novinky

    Linka STOPonline.cz v roce 2023 přijala 3700 hlášení závadného obsahu na internetu, 22 bylo předáno PČR, 23 bylo předáno ISP a 944 závadových domén zobrazujících dětskou nahotu či pornografii bylo nahráno do mezinárodního systému ICCAM, který je spravován asociací INHOPE.

    Ladislav Hagara | Komentářů: 6
    26.3. 20:44 | Zajímavý článek

    Byla publikována podrobná analýza v upstreamu již opravené bezpečnostní chyby CVE-2024-1086 v Linuxu v nf_tables.

    Ladislav Hagara | Komentářů: 0
    Steam
     (24%)
     (29%)
     (14%)
     (9%)
     (25%)
    Celkem 389 hlasů
     Komentářů: 10, poslední včera 17:31
    Rozcestník

    Administrace komentářů

    Jste na stránce určené pro řešení chyb a problémů týkajících se diskusí a komentářů. Můžete zde našim administrátorům reportovat špatně zařazenou či duplicitní diskusi, vulgární či osočující příspěvek a podobně. Děkujeme vám za vaši pomoc, více očí více vidí, společně můžeme udržet vysokou kvalitu AbcLinuxu.cz.

    Příspěvek
    11.1.2010 10:03 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Zabezpecenie intranetu (Apache + PHP + MySQL)
    Ad. Everest, MySQL není pupkem světa, ale předmět dotazu je jasný :)
    Tazatel nepíše nic o centrální autentizaci. Uživatele nabušíte do mysql přes myadmin stejně dobře jako byste je bušil do té aplikace.
    Ad. Centrální heslo, kde ? co ? jak ?, každá aplikace má vlastní každý server má vlastní (je to jen jiný pohled na bezpečnost, Vám hesla kolují světem a je jich hodně, ale zajišťují oprávněnost požadavku na každé úrovni, a někomu jedno silné skryté heslo, které nikde nekoluje).
    To jste ještě úplně asi nepochopil tu myšlenku. Bude-li N uživatelů, budu já mít N hesel, zatímco Vy budete mít N+1 hesel, kde právě to plus první bude heslo, kterým se aplikace připojuje do databáze. Uživatelská hesla budou kolovat světem stejně v obou modelech. Ve Vašem modelu navíc musíte dbát nejen o vysokou bezpečnost toho aplikačního hesla ale i o integritu celé aplikace. To jsou tisíce řádků navíc a tedy tisíce možných problémů. Ve Vašem modelu stačí najít jednu problematickou část a BANG uživatel aplikace má najednou všechna práva. To je pak bezvadné, když já jako registrovaný zákazník e-shopu můžu měnit stavy zásob na skladě.

    A ano, každá aplikace může mít svoje vlastní heslo. Více aplikací neřeším bez újmy na obecnosti. Řeším jen více uživatelů s různými právy v rámci jedné aplikace.
    tak si ten audit (chcete-li kontrolu) udělám abych zjistil jestli tam není nějaké potenciální riziko
    Aha. Takže zřejmě máte schopnost najít všechny chyby v aplikaci během jednoho večera (nebo jak dlouho auditujete:)

    A nebo ne? Jakou metodiku a nástroje používáte? Kolik lidí a jakých má Váš auditovací tým? Kolik času věnujete auditu? Auditujete i proces vývoje u dodavatele? Co děláte s chybami, opravujete je, posíláte patche? Ukažte reference na Vaši auditorskou činnost u několika OSS projektů.
    Ad. Váš model (je jeden z modelů), ale je si třeba uvědomit, že tím musíte hlídat bezpečnost všech článků - DB server musí být odolný vůči vnějším útokům.
    A Vy bezpečnost všech článků nehlídáte? Pak máte bezpečnost závislou na nejslabším z nich, tj. zřejmě velmi nízkou. To je ostatně vidět i na konceptu "aplikačního hesla". Jedna úroveň ochrany a konec.
    100% integritu
    Proč ne rovnou 110 :)
    Všimněte si že připouštím více uživatelů na DB (read/write) a těch může být více (zmiňované role) - je to další stupeň bezpečnosti, eliminující jisté chyby v aplikaci.
    To je hezké, ale pokud jsou hesla ke všem rolím na jednom místě, tak to zas tak moc velká výhra není.
    Ruku na srdce jste schopen nastavit jednotlivé uživatele na velkém projektu přesně a do detailu tak aby měli oprávnění přesně na každý sloupec databáze (struktura DB se pak řídí jen bezpečnostním modelem)?
    Ano jsem. V definici takových pravidel není rozdíl proti "programování aplikační logiky". Samozřejmě ta politika musí mít hlavu a patu nebo se z toho zblázníte. Jen v databázi je výsledek že to nenadefinujete, zatímco v "aplikační logice" to nějak uděláte, ale bude neprůhledné a pravděpodobně ochcatelné.
    Rozlišit oprávnění na data a současně na procesy a akce na úrovni DB vyžaduje mít nastavenu 100% aplikační logiku v DB na vše VIEW a funkce metody a trigery. Samozřejmě je to cesta, a perfektní, ale realizace je mnohem náročnější a zrovna na intranet(záleží co to obnáší) mi to nepřipadne vhodná.
    Vážně? Když bude mít Franta přístup do "objednávek" jen pro čtení a Honza jen pro připisování, tak mi na to stačí dva SQL příkazy při inicializaci účtů. Pak tato pravidla budou platit univerzálně, i kdyby se aplikační logika postavila na hlavu. Ve Vašem případě budete mít u každé činnosti deset ifů a pokud něco někde zmrvíte, tak objednávku přepíšete třeba jen omylem.

    Triggery a funkce budete potřebovat až v druhé fázi (a to kdoví jestli). Například když budete chtít aby se při každé nové objednávce něco stalo. Jenže to může zrovna tak dělat ta aplikační logika jako dřív, protože to s bezpečností nesouvisí.
    In Ada the typical infinite loop would normally be terminated by detonation.

    V tomto formuláři můžete formulovat svou stížnost ohledně příspěvku. Nejprve vyberte typ akce, kterou navrhujete provést s diskusí či příspěvkem. Potom do textového pole napište důvody, proč by měli admini provést vaši žádost, problém nemusí být patrný na první pohled. Odkaz na příspěvek bude přidán automaticky.

    Vaše jméno
    Váš email
    Typ požadavku
    Slovní popis
    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.