Administrace komentářů

Pak ale nevadí ani to, když to někdo obejde kvůli chybně napsané logice aplikace.

Ne, to nevadí.

To pak ale znamená pro každou jednotlivou činnost nadefinovat extra uživatele a přidělit mu práva.

Ne uživatele ale kontext a ano, separace práv je jeden z nástrojů které použijete. A nemusíte to tak dělat se vším, jen s rizikovými operacemi. V operačním systému také nemusíte separovat práva pro "sed" zavolaný z bashe, ale pro "passwd" už ano.

Ono když můžu v kontextu aplikace spustit libovolný kód, můžu si tam spustit i kód, který bude sledovat a uchovávat hesla uživatelů, kteří se prostřednictvím aplikace přihlašují k databázi

To není nutně pravda. Pokud je aplikace udělaná dobře, tak po autentizaci můžete dostat jiný kontext pro každého uživatele. Váš pracovní thread pak nebude mít prakticky právo na víc než se hrabat v té databázi, respektive k tomu, co by ta aplikace legitimně dělala.

Ale i v tom horším případě, kdy skutečně můžu nějak znásilnit přihlašovací formulář, nebude vše tak zlé. Jednak jak jsem říkal, je toto jeden z důvodů proč se používají cerifikáty, tokeny, atd. (To platí i např. o ssh.) Pak si můžete poslouchat co chcete.

Vaší další možností jako útočník bude počkat až se uživatel přihlásí a pak nějak převzít jeho session (útok typu "čas autentizace verzus čas použití"). Tomu se dá bránit tím, že každou důležitou operaci autorizuje uživatel separátně (např. e-banka autorizuje zvláštní SMS každou provedenou platbu atd).

Samozřejmě pak existují postupně další a další levely útoků a ochran. Je to ale úplně jiná situace než když po první chybě v PHP skriptu mám k dispozici neomezeně celou databázi (data, hesla, ...), ne?

To pak ale můžete tu původní děravou aplikaci vyhodit.

To je nesmysl. Nikdo nikdy (možná až na nějaké extrémy) nic vyhazovat nebude. Bezpečnost není binární (děravá verzus bezpečná aplikace). Není ani skalární (90% bezpečná) - vyhodnocuje se vždy vzhledem k nějakým okolnostem a předpokladům a není ani statická - mění se v čase. Ergo nemá cenu nic vyhazovat, ale má cenu to postupně zlepšovat.

přidat celou další vrstvu, která bude zajišťovat bezpečnost, aplikační logiku, ukládání dat

Přesně tak, vrstvu za vrstvou, kde každá eliminuje nějaké riziko, ale zároveň počítá s tím, že předchozí vrstvy jsou plně v rukou útočníka.

Příklad: nejlepší šifry (např AES) jsou odolné proti útoku, kde si útočník může nechat od Vás zašifrovat libovolně mnoho libovolných zpráv, a stejně nezjistí klíč jinak než hrubou silou. Slabší šifry se při takovémto útoku rozpadnou.

Analogie: v mém případě databáze předpokládá, že se na ni útočník může připojit a provést libovolnou operaci, výsledek bude, že stejně bez hesla nenapáchá víc škody než by mohl přes tu web aplikaci.

Takže když potřebuje zjistit počet nepřečtených zpráv, nemusí mít práva, která mu umožní zprávy vytvářet, upravovat a mazat.

To lze vyřešit rolemi, pokud tohle Vaše aplikace má umět, tak se uživatel přihlásí do role pro čtení. (Může a nemusí mít jiné heslo/jiný autentizační mechanizmus než k roli pro zápis.) Výsledek ale nebude dvojnásobný počet uživatelů, jen to jedno rozlišení rolí v politice.

Když bude administrátorovi volat dvacet lidí denně, že zapomněli heslo, bezpečnost bude nulová – bude stačit, aby mu tam takhle zavolal jako dvacátý prví útočník, a administrátor změnu provede.

Tohle by vedlo k rozsáhlejší debatě na zamyšlení. Pravda je taková, že když každý web bude po mně chtít unikátní, bezpečné, atd. heslo (které si pak uloží plaintextově :), tak se z toho zachvíli pos*ru (některé weby i několikrát, jednou do bugzilly, jednou na fórum, ...) a buď budu používat slabá hesla, nebo je budu zapomínat. Volba "zapomněl jsem heslo" není řešení, ale obejití tohoto problému. (U aplikací, kde tato volba chybí, uživatelé zas tak často heslo nezapomínají.:)

Samozřejmě pokud bude existovat linka, kde zavolá každý hej počkej a vyžádá si nové heslo pro kohokoliv, tak se toho moc nevyřeší. Telefonní operátoři Vás obvykle donutí přijít na pobočku a prokázat se obč. průkazem.

Postupem času jste dospěl k tomu, že na všechno budete mít zvláštní procedury s příslušným oprávněním.

Nemůžete chodit z extrému do extrému. Nic nemusí být perfektní, stačí aby to bylo dost dobrý. IMHO posunutí bezpečnosti z 90% aplikačních serverů směrem k db by stálo marginální úsilí a pozitivní výsledek by se dostavil poměrně brzo.

Což budou tady v ČR jednotky aplikací, a rozhodně se v nich nevyskytuje ani PHP ani MySQL.

Myslím si, že toho bude víc. Dále si myslím, že většina věcí u nás nebude vyvinuta u nás. PHP si svou cestu už prošlo a myslím si, že v něm lze při troše snahy psát bezpečné aplikace. MySQL je použitelné, ale trochu pokulhává. Pokud chcete víc, nic Vám nebrání použít místo MySQL třeba postgres nebo oracle. V PHP jsou ty funkce úplně stejné.