Administrace komentářů

Zhruba tak nějak.

Otázka je, jestli to někdy někdo do Apache, PHP a MySQL implementuje. Zatím se všichni snaží docílit naopak toho, aby nikdo svůj libovolný kód v kontextu aplikačního serveru nebo databáze provádět nemohl.

Dá se to tak nastavit, a i kdyby to tak nastaveno nebylo, tak musíte počkat, až se ten druhý přihlásí, což je dost jiná situace, než když do půl hodiny stáhnete obsah db a konec.

Jaký „ten druhý“? Prostě se dostanu k datům všech, kteří jsou zrovna připojeni. To je málo?

Na útoky tohoto typu nepotřebujete roota.

Nepotřebujete. Jen jsem podotknul, že vy si v rámci vyšší bezpečnosti pouštíte uživatele do lokálního počítače, odkud může mimo jiné daleko snáz roota získat.

A že je něco složitější a něco jednodušší neznamená že se na jedno z toho musíme vykašlat. Jak jsem říkal, správná aplikace je zabezpečena odzhora dolů. Není to tak, že když mám bezpečný back-end tak na webovém serveru rozdávám privilegované účty kolemjdoucím.

Můj způsob zabezpečení je, že např. aplikační server zabezpečím proti spouštění libovolného kódu a libovolných SQL dotazů, a u databáze už pak mohu předpokládat, že na ni jdou jenom „prověřené“ dotazy. Váš přístup je, že uděláte x nezabezpečených vrstev a všechno pak zabezpečujete až na nejnižší úrovni (kde už spoustu věcí zabezpečit nedokážete, protože je to nesrovnatelně složitější).

Já jsem nepsal nic o rozdávání privilegovaných účtů kolemjdoucím – zabezpečit webovou aplikaci tak, aby z ní nebylo možné spouštět útočníkův kód ani libovolné dotazy je triviální.

E-maily a jejich bezpečnost snad řeší e-mailový server?

Cože? Pokud např. v e-shopu chcete odeslat rekapitulaci objednávky, ve vašem případě to chcete udělat z kontextu uživatele, ne? Přece nechcete, aby uživatelův e-mail mohl číst někdo jiný, než uživatel sám.

Jediné co chci, je posunout kontrolu přístupových práv o úroveň níž. … Zbytek "aplikační logiky" zůstane tak jak je.

Takže třeba v tom e-shopu povolíte uživateli libovolně manipulovat s počtem položek na skladě (aby mohl přesunout položku ze skladu do košíku), nebo budete mít aplikační logiku i v databázi (která např. bude kontrolovat, zda uživatel mění stav položek na skladě povoleným způsobem)? Pokud zvolíte první způsob, je sice hezké, že uživatele k některým datům nepustíte, jenže zabezpečení nemá jenom tři stavy nesmí nic – může číst – může měnit, ale může mít i spoustu dalších variant, které závisejí na aplikační logice (třeba že uživatel může věci ze skladu dávat jen do svého košíku a zpět).