Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
Интересно: 1. Какая-нибудь СУБД может обеспечить контроль прав на уровне строк? 2. Кто-нибудь ЭТО пробовал ? 3. Если 1=нет, почему до сих пор ? IMHO, Mon$te® ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2006, 18:27 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
Oracle, Linter. про другие не знаю. Эта фишка называется "мандатная защита". http://www.oracle.com/ru/oramag/august2001/index.html?dev_tkyte.html http://www.relex.ru/rus/products/linter/lin_access.php ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2006, 18:37 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
более правильная ссылка по Ораклу: http://www.oracle.com/global/ru/oramag/august2001/dev_tkyte.html ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2006, 18:40 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
кстати. в IB/FB это реализуется программно, через селективные хранимые процедуры, или самими приложениями. Существуют вариации от очень простых схем до супер-сложных. Могу добавить только, что при программной реализации схема прав доступа ACL для РСУБД не годится - производительность стремится к нулю при увеличении записей-прав_доступа. Лично я остановился на расширенной стандартной юниксовой схеме (группы, пользователи, флаги доступа owner, group, all). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2006, 18:43 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
В Оракле пробовали и много раз. Не далее как сегодня правил ошибки парней - забыли юзера прописать и он ничего не видел. Управляется легко - проггеру мало что делать надо. Это там называют Тщательный контроль доступа. Есть как минимум с 8 версии, а счас уже 10 в ходу. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2006, 18:55 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
kdvOracle, Linter. про другие не знаю. Эта фишка называется "мандатная защита". Немного поправлю Диму. Мандатная модель разграничения доступа реализована только в ЛИНТЕР. У Oracle сделано на логическом уровне, а мандатная защита подразумевает раздачу прав (назначение меток доступа) непосредственно данным, физически. Модель защиты Oracle проще в администрировании, но она не решает некоторых проблем, AFAIK. Например, понижение секретности данных и всё с этим связанное, SYS видит всё и т.п. В ЛИНТЕР реализована мандатная модель и доступ разграничивается вплоть до значений атрибутов, права доступа являются неотъемлемой частью самих данных (и субъектов, и объектов). Мандатная модель обеспечивает беспрецедентный уровень защиты, но сложнее в проектировании и администрировании БД. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2006, 20:21 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
DB2 Viper (ожидается в следующем квартале) имеет именно мандатную защиту, на уровне колонок, на уровне строк, ну и на уровне ячейки, права даются уровню иерархии, в который организованы пользователи/группы. В бете уже работает, но релиза пока нет ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2006, 20:41 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
> схема прав доступа ACL для РСУБД не годится Еще как годится. ACL + rwe + контекст, где ACL - исключения. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2006, 21:05 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
kdvкстати. в IB/FB это реализуется программно, через селективные хранимые процедуры, или самими приложениями. Хм. Я бы сказал, программно это реализуется почти где угодно. view еще никто не отменял. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2006, 21:06 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
softwarerХм. Я бы сказал, программно это реализуется почти где угодно. view еще никто не отменял. цена больно высока получается... на каждую строку дернуть функу проверки... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2006, 22:56 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
Хм. Это Вы про возврат отфильтрованной выборки из процедур или таки про view? Какой идиот будет строить view на проверяющих функциях? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.03.2006, 01:38 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
А что это VFP молчит ? В VFP это же Елементарно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.03.2006, 03:37 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
ммм... Программно - не считается потому-что это не СУБД обеспечивает, а проггер. Итак есть несколько лет в Оракле и судя по посту - работает Есть в Линтер, правда без подтверждения постом Вводится в DB2 Viper Кто применял в Жизни пожалуйста если можно напишите ещё о : - удобство использования - скорость при малых списках ACL и при больших, а так же при разных количествах записей в таблицах - как к этому у вас юзеры относятся IMHO, Mon$te® ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.03.2006, 10:47 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
из того, что прочувствовал на бете Viper 1) удобно, посему как из командной строки :) 2) Overhead небольшой из-за продуманной архитектуры, и хорошо документирован, Так что можно сознательно чего-то выбрать 3) Юзверей небыло, а себя любимого пару раз по началу доступа к данным начисто лишил :) Очень мощная вещь, отлично документирована, но сложная, и требует выделеного человека, обладающего знаниями. Потому как можно организовывать пользователей/группы в сложные наборы иерархий, легко потерять доступ при одном невнимательном шаге. И если я не ошибаюсь, проходит российскую сертификацию. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.03.2006, 11:08 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
4d_monsterИтак есть несколько лет в Оракле и судя по посту - работает Работает. Собственно даже применяется в OEBS (правда, в некоторых местах, видимо относительно новых), что показывает работоспособность в больших проектах. 4d_monster - удобство использования Удобнее, нежели достижение аналогичного результата целиком своими средствами. Поработать, конечно, все равно надо, но использовать стоит. 4d_monster - скорость при малых списках ACL и при больших, а так же при разных количествах записей в таблицах Хм. Запороть по скорости можно что угодно :) С точки зрения реализации фичи в оракле вопрос по-моему несколько бессмысленен. Результат - не быстрее чем при отсутствии проверок и не медленнее, чем при аналогичной по качеству реализации руками. Примерно так. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.03.2006, 11:33 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
4d_monsterЕсть в Линтер, правда без подтверждения постом Не понял фразу. В ЛИНТЕР мандатная защита появилась около 10 лет назад. Реально используется на различных объектах. Сертифицирована по второму классу для СВТ, разрешается использвание в защищённых АС вплоть до класса 1А. Кто применял в Жизни пожалуйста если можно напишите ещё Про удобство использования уже говорилось - мандатная защита требует аккуратности в проектировании БД и раздаче прав. В остальном - SQL :-) Доку можно здесь взять: Описание модели защиты - http://www.relex.ru/lindoc/pdf_file/mod_szi.pdf Администрирование - http://www.relex.ru/lindoc/pdf_file/admin_szi.pdf - скорость при малых списках ACL и при больших, а так же при разных количествах записей в таблицахСкорость практически не страдает (3-5%, не более), т.к. всё это зашито в ядре в механизмах доступа. - как к этому у вас юзеры относятся С пониманием :-) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.03.2006, 15:03 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
Всем спасибо за ответы IMHO, Mon$te® ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.03.2006, 21:29 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
aZm softwarerХм. Я бы сказал, программно это реализуется почти где угодно. view еще никто не отменял. цена больно высока получается... на каждую строку дернуть функу проверки... в M-системах (MSM, GTM, M3-LITE, CACHE) это просто по программе и не накладно по скорости но - прописать все надо ручками ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.03.2006, 09:42 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
pavelvp kdvOracle, Linter. про другие не знаю. Эта фишка называется "мандатная защита". Немного поправлю Диму. Мандатная модель разграничения доступа реализована только в ЛИНТЕР. У Oracle сделано на логическом уровне, а мандатная защита подразумевает раздачу прав (назначение меток доступа) непосредственно данным, физически. Модель защиты Oracle проще в администрировании, но она не решает некоторых проблем, AFAIK. Например, понижение секретности данных и всё с этим связанное, SYS видит всё и т.п. В ЛИНТЕР реализована мандатная модель и доступ разграничивается вплоть до значений атрибутов, права доступа являются неотъемлемой частью самих данных (и субъектов, и объектов). Мандатная модель обеспечивает беспрецедентный уровень защиты, но сложнее в проектировании и администрировании БД. В оракле система защиты на метках данных (label security) была реализована еще в 7 версии. То есть почти 15 лет назад. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.03.2006, 16:13 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
в MS SQL Server 2005: http://www.microsoft.com/technet/prodtechnol/sql/2005/multisec.mspx ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.03.2006, 17:43 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
MX -- ALEX в M-системах (MSM, GTM, M3-LITE, CACHE) это просто по программе и не накладно по скорости но - прописать все надо ручками Интересно, а как ручками прописать права для каждой строчки таблицы (или что там у вас) в 10^6 строк? По скорости, при использовании представлений и в других БД не накладно, если правильно построить индексы разумеется. Если раздавать права системно то не знаю, не использовал. Не понимаю зачем оно нужно, если предсатвления легко и просто решают эту проблему. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.03.2006, 11:06 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
c127 MX -- ALEX в M-системах (MSM, GTM, M3-LITE, CACHE) это просто по программе и не накладно по скорости но - прописать все надо ручками Интересно, а как ручками прописать права для каждой строчки таблицы (или что там у вас) в 10^6 строк? у нас на каждой строке автоматом ставится невидимая невооруженным глазом отметка кто когда и с какого места ввел эту строку и например задано условие что править-удалить эту строку может только тот кто ввел ее первый раз ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.03.2006, 11:30 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
AIВ оракле система защиты на метках данных (label security) была реализована еще в 7 версии. То есть почти 15 лет назад. Честно говоря я про Trusted версию уже и забыл. Не слышно что-то про неё ничего. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.03.2006, 13:59 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
c127По скорости, при использовании представлений и в других БД не накладно, Может оказаться накладным - во всяком случае, нужно приложить заметное количество усилий. Пример: допустим, для нескольких ролей пользователей различается логика раздачи прав на строки одной и той же таблицы (например, начальник видит данные зарплаты по своим сотрудникам, кассир - по состоянию "предназначено к выдаче", а администратор - без ограничений). Если давать права через единственный view, потребуется соорудить в нем условие "или", возможно с подключением разных таблиц в разных случаях, что может оказаться не очень производительным. Если же делать через разные view, теряется возможность нормально использовать для этих пользователей общую ХП. c127Если раздавать права системно то не знаю, не использовал. Не понимаю зачем оно нужно, если предсатвления легко и просто решают эту проблему. Чтобы решать легче и проще. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.03.2006, 15:03 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
Stas Tristanв MS SQL Server 2005: http://www.microsoft.com/technet/prodtechnol/sql/2005/multisec.mspx Это не то. Цитата Implementing Row- and Cell-Level Security in Classified Databases Using SQL Server 2005The mechanism we will use to enforce row-level security is SQL Server views . Views allow a predefined query to be presented to a user or application as if it were a table. Also, users can be granted access to a view , but denied access to underlying tables. This prevents the user from bypassing the view and going straight to the base table. We will use a specially constructed view which applies all the necessary logic to enforce row-level security based on labels . PS: ЕМНИП, МС перед выходом Юкона грозилась сделать row-level безопасность в стиле Оракла, да так и не сделала. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.03.2006, 15:19 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
pavelvp AIВ оракле система защиты на метках данных (label security) была реализована еще в 7 версии. То есть почти 15 лет назад. Честно говоря я про Trusted версию уже и забыл. Не слышно что-то про неё ничего. Закончилась на 7.3... Label security встроена в Enterprise edition с 8.1. С 10.2 можно также шифровать файлы данных. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.03.2006, 17:19 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
softwarer c127По скорости, при использовании представлений и в других БД не накладно, Может оказаться накладным - во всяком случае, нужно приложить заметное количество усилий. Пример: допустим, для нескольких ролей пользователей различается логика раздачи прав на строки одной и той же таблицы (например, начальник видит данные зарплаты по своим сотрудникам, кассир - по состоянию "предназначено к выдаче", а администратор - без ограничений). Если давать права через единственный view, потребуется соорудить в нем условие "или", возможно с подключением разных таблиц в разных случаях, что может оказаться не очень производительным. Если же делать через разные view, теряется возможность нормально использовать для этих пользователей общую ХП. Можно и без OR, если соединить с подходящей таблицей. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.03.2006, 00:03 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
c127 Я согласен с тем, что с помощью view можно сделать достаточно хорошее решение. Но не согласен с тем, что это будет так уж легко и ненакладно. Если говорить об оракловой реализации, то физически и получается view, достраиваемый для сеанса на основании зарегистрированных политик. Но с точки зрения разработки и сопровождения сложность резко отличается. С другой стороны, наверное, можно сконструировать ситуацию, где view даст некий выигрыш в производительности за счет структуры проверок, оптимизированной именно под комбинацию таблиц, а не под таблицы поотдельности. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.03.2006, 12:24 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
softwarerС другой стороны, наверное, можно сконструировать ситуацию, где view даст некий выигрыш в производительности за счет структуры проверок, оптимизированной именно под комбинацию таблиц, а не под таблицы поотдельности. А ты не задумывался, насколько легко будет оставить эти view updatable? Решение от Оракла же заключается в автоматическом добавлении дополнительного условия в класс WHERE любого SQL оператора, обращающегося к контролируемой таблице. View не используются. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.03.2006, 19:01 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
В реализации с метками доступа вообще всё прозрачно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.03.2006, 21:43 |
|
||
|
Права доступа на уровне строк?
|
|||
|---|---|---|---|
|
#18+
Anton DemidovА ты не задумывался, насколько легко будет оставить эти view updatable? Если уж на то пошло, не задумывался ли ты, что это далеко не всегда требуется, и обычно легко решается? Anton DemidovРешение от Оракла же заключается ..... Чукча писатель? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.03.2006, 03:31 |
|
||
|
|
start [/forum/topic.php?all=1&fid=35&tid=1553635]: |
0ms |
get settings: |
7ms |
get forum list: |
12ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
33ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
65ms |
get tp. blocked users: |
1ms |
| others: | 200ms |
| total: | 332ms |
| 0 / 0 |
