sphinx_mvМСУОпустили тебя в бочку с гавном - иди отмывайся ершиком.Неслабо Вас "вставляет" на сексуальные фантазии...
Купание в дерьме... Чистка ершиком... Букет целый диагнозов!..
Копрофилия, копрофагия, фистинг... Вам требуется срочная диспансеризация - абсолютно без шуток!
Как связано говно, в которое тебя постоянно макают на этом форуме, и сексуальные фантазии? Озабоченная обезьянка?
sphinx_mvМСУПерехватит даже такой говноламер, как ты. Проверено.
Твой высер достоин уровня студента первого курса - как понимать, "что-нибудь полезное получить, но даже на подключиться"?
Я же не виноват что у Вас с ко всем парафилиям еще и склероз развился!
И было же непосредствено Вам рассказывано, как это делается в современных
серверах баз данных ... Ну, и кто Вам доктор, что из всех серверов баз данных Вы знаете только один - да, и тот только по названию?!
Никто не запрещает эти гранты использовать в серверном исполнении для администрирования учеток апп серверов. Только идиот вроде тебя будет админить пользовательские учетки средствами SQL. Когда потребуется сменить источник хранения пользователей и ролей, твоя халупа развалится как карточный домик. Я виноват, что такой кретин как ты, не понимает этого?
sphinx_mvМСУБред сивой кобылы, которой выбили левое полушарие, а затем правой. Включай свои пустые полушарные полости и думай - если я получил строку соединения с БД, значит я могу обходными путями соединиться с СУБД. Если я это могу сделать, значит я могу начинать исследовать базу, находить уязвимости и выполнять SQL в разрезе своих прав. Я уверен, что все твои говноприложения ходят из под одной db учетки с максимальными правами, поэтому тут полный алес капут Это 3.14здец!
Не переводите стрелки - Вам сказали, что это пользователи серверов приложений работают из под одной учетки с неограниченными правами. Вы хотите теперь доказать, что все пользователи у нас работают точно так же? Ну, попробуйте доказать! Ага! Пробовать - это все что Вам осталось!
Вас не смущает что я могу сказать, какой пользователь когда, что и даже откуда лично сделал в системе?
Ну, идите, думайте над версиями...
Я плакал от такого шизофрена как ты
Во-первых, каждое серверное приложение ходит в БД под своей учеткой. Про "неограниченные" права серверных учеток - это плод твоей больной фантазии. Пруф в студию, где я говорил про неограниченность? Как коррелируют твои говнопользователи и серверные учетки, бестолочь? Во-вторых, я точно так же могу сказать, какой пользователь когда, что и даже откуда лично сделал в системе. В чем сложность-то тут увидел? Опять ламерством блещешь?
sphinx_mvМСУНо даже для тех, кто перестраховался виндовой аутентификацией, это не так сильно поможет - возвращаемся к вопросу об открытых транзакциях. Да и вообще, какое приложение может считаться безопасным, если его пользователи запросто могут шариться через сторонние средства по БД и выполнять SQL? Убожество, убей себя об стену Ну, так убейте себя об стену!
НЕ МОГУТ у меня пользователи сделать больше, чем им положено по статусу! Физически!
Как получить логин и не иметь возможности подключиться - вам была дана ссылка.
Если до Вас "не доходит" - ну я-то тут при чем?! Ваши претензии непосредственно к Вашим папе с мамой...
Зачем мне убивать себя об стену, глупенький? У меня в отличие тебя с головой всё в порядке. А тот факт, что тебя мамочка недоношенного выносила и выхаркнула в какую-то сточную канаву, вовсе не означает, что ты тут пишешь правильные вещи. Напротив, твой гон не поддается здравой логики. Почему? Потому что ты талпайоп
sphinx_mvМСУТы придурок?
Сервисная шина (даже тут ты показал свою тупость и незнание, что это такое) хостится на сервере приложений и доступна через различные виды привязок, например https или tcp. Шина публикует n методов, взломать тут ничего не получится, поиметь БД тоже не получится. Каким боком ты собираешься получить доступ к базе, чудовище? Полярный пушной зверек какой-то!
А про виды атак "Server Side Request Forgery" или "Cross-Site Request Forgery", мусье, в курсе? А почем нет?
И если "не в курсе", то не подскажет ли этот мусье, как он будет от них защищаться?
Фееричная обезьяна продолжает жечь напалмом?
Причем тут
SSRF , тупица? Только полный идиот вроде тебя даст полное доверие внешнему порталу и внутренней системе. Бегом читать про dmz, бестолочь
Про XSRF вообще ржака, у меня такое ощущение, что ты используешь какой-то рэндомизированный генератор слов, лишь бы вбросить очередную порцию глупости. Во-первых, даже школьник знает о проверке HTTP_REFERER, во-вторых, элементарная защита - сопоставлении сессии пользователя определенного гуида. В-третьих, причем тут вообще сайт и http протокол? У нас речь о суперскоростном tcp байдинге в шине. Во-вторых, если нужен хайпер текстовый байдинг, кто-то запрещает использовать SSL с хорошим ключем? Короче, как всегда - высер в кусты.
sphinx_mvМСУИнформацию ты можешь "снять" хоть через своё больное воображение, но снимешь ты ее только в таком виде, каком отдала её шина данных, то есть wcf сервис. Ты это понимаешь, конь в вакууме? А в случае с двухзвенкой передо мной целая база данных, бери, щупай, играйся с запросами, открывай транзакции! Только конченый полоумный придурок вроде тебя может так бесконечно тупить. Твой нулевой опыт просто забавляет.Да-да! Ваши познания великого гуру в информационной безопасности просто жгут напалмом из всех дыр! )
А потом еще окажется, что у этого гуру банальная sql-инъекция "нарисовалась", а потом еще сервису сертификат безопасности "левый" подсунули...
WCF, может, и отдаст мне только то, что должен... Вопрос - а должен ли он был мне это вообще отдавать? И не забываем, что считать атакой успешной можно уже тогда, когда, используя легитимные средства, получен доступ к ресурсам, к которым доступ должен быть закрыт.
Твоя тупость невыжигаема Каким образом в wcf ты применишь SQL инъекцию? Ты, вообще, знаешь, что это такое?
Это просто жуть, насколько ты невменяем. Объясняю на пальцах, в wcf в принципе нельзя сделать SQL инъекцию, ибо это SOA. Только полный шизодебил вроде тебя сможет сделать метод со строковым параметром, в который передается SQL запрос. Бегом читать про SOA. Твой нулевой опыт просто забавляет. Вот что значит общаться с человеком, который полностью деградировал на SQL с хранимыми процедурами. И да, я жду примера SQL инъекции в wcf! Убежал за попкорном
sphinx_mvОхренеть, какая у Вас трава крепкая!
... прокричал sphinx_mv в зеркало и принялся за новый говнопост на sql.ru
sphinx_mvПока наблюдается, что для кое-какого недо-гуру база данных представляет собой "черный ящик" не только для пользователя, но и для самого разработчика!
Так что посторонись - танк раздавит!
Причем тут "разработчик", дурашлёпина?
sphinx_mvМСУТвоя кретино-тупорылость просто великолепна Вся твоя проблема - отсутствие головного мозга в твоих раздавленных ламеризмом полушариях. Откуда ты тут придумал один "компьютер" в сети, чудо? Сходи к врачам на удаление головы! Она тебе все-равно не нужна.
ЛЮЮЮЮЮДИ!!!! НУ, КТО-НИБУДЬ!!! РАССКАЖИТЕ ЭТОМУ (CENSORED) ПРО ЛУПБЭК, ЛОКАЛХОСТ и 127.0.0.1 !!!!!! НУ, ПОЖАЛУЙСТА!!!!
ЭТО ЖЕ ФОРМЕННЫЙ 3.14ЗДЕЦ!!!
Ты вообще головой тронулся? Какой нахрен лупбэк, локалхост и 127.0.0.1 в пограничной сети, сервер которого, вдобавок, отмасштабирован в несколько нод для балансировки назрузки? Ты там укурился что-ле?
sphinx_mvМСУИдиотина, причем тут роутеры и бэкдоры в серверной продукции HP? Отлепи свою безмозглую черепушку от сего, речь идет о безопасности 3-tier и 2-tier. Недостаток образования не дает Вам возможности правильно ответить на этот вопрос.
Про надежность сложных систем Вас никто нигде и никогда не учил? Ну, может, хоть кто-нибудь по доброте душевной намекал вам, что чем сложнее система, тем она уязвимее? Аналогично и с безопасностью. Посчитать на пальцах какая система сложнее - слабо? Ну, когда насчитаете - обращайтесь, получите следующую подсказку.
Твоя тупость просто не знает границ, запредельная хрень, которую ты тут несешь, просто убийственна
Не хочешь сложную систему из-за того, что она может быть уязвимее? Ну так юзай простой stand-alone вариант с embedded database, не? Идиот, введение дополнительного уровня - это и есть обеспечение большей безопасности и масштабируемости (которая представляет собой хрень на постном масле, как ты, долбоёбина, писал). Читай матчасть, недоросль.
sphinx_mvМСУХватит метаться из стороны в сторону как испуганная обезьяна, твоя "кибербезопасность" распространяется не только на 3-tier.
По поводу полной уверенности в безопасности - еще один кретинический вброс. Кто тут говорит о 100% безопасности чего-либо? Речь о том, что в двухзвенке безопасность на порядки ниже, чем у n-tier. Другими словами, по сравнению с n-tier безопасности практически нет - пойди, расшарь БД в интернет для своих толстых клиентов. Сломают как два пальца об асфальт.Айдане3.14зди! Такие как Вы, которые НЕ знают, что такое TCP/IP, могут только себе хрен сломать об асфальт!
Базы они будуть "расковыривать"... Ага... Носом в навозных кучах...
С учетом того, что сервер базы данных у Вас вообще не защищается - что 3, что 5, чтот 100 уровнеей в вашем приложении будет - один хрен в Вашем приложении СОВСЕМ нет безопасности!
Сугубо в силу базового принципа построения сложных систем - прочность системы определяется прочностью самого слабого компонента!
База у Вас не защищена - досвидос! А фаерволы - не преграда!
Вот так новость, обезьянка даже не в курсе, что есть tcp? Приплыли
Дурилко, у нас сервер БД может защищаться, а может не защищаться. Точно так же, как и в случае двухзвенки. Или почему ты решил, что твоя СУБД защишается, а у варианта 3-tier не защищается? Опять фантазируешь на масле? Дырка в безопасности у тебя в отстреленной башке, а не в 3-tier.
Про "прочность систем" вообще обоссаца Новый термин у обезьянки? Что такое прочность системы? Как проверить, насколько прочна система? Я плакал...
sphinx_mvМСУТам четко говорится о преимуществах трехзвенки. Купи голову и попытайся понять это.
С каких пор полное отсутствие безопасности в информационной системе считалось ее преимуществом?!
А в Ваших трех- и прочих хрензнаетскольки-звенных системах вопрос безопасности базы данных
ДАЖЕ НЕ РАССМАТРИВАЕТСЯ!!!
С каких пор в информационной системе полное отсутствие безопасности? Почудилось? С какого перепуга в 3-tier вопрос безопасности базы данных не рассматривается? Давай по-порядку, буду выводить тебя, идиота, на чистую воду.
sphinx_mvМСУОткровенный феерический слив придурка sphinx_mv? Браво! Ну, теперь глотай и подмойся, если уж тебя отъимели во все дыры.
Ты точно уверен, что не являешься озабоченным придурком? Похоже на то.
sphinx_mvМСУЕще раз: готов привести пример в студию, как ты сможет такое сотворить с сервером приложений? Пример с двухзвенкой тебе уже продемонстрировали. Осталось дело за малым - показать, как же ты через шину "поимеешь" БД. Набрал попкорна Вы утверждаете, чт о на сервер приложений невозможно "подсадить" руткит? И Вы утверждаете, что с сервера приложений невозможно увести данные для подключения к серверу БД?
Ну, и на чем основана эта Ваша уверенность?
1. Зачем ты мне задаешь какие-то кретинские вопросы? Я уже несколько постов подряд добиваюсь от тебя примера, как можно "поиметь" базу данных через SOA. Когда будет пример?
2. Руткит можно посадить куда угодно, даже в твой пустомозглый череп. Даже на сервер БД. Почему ты считаешь, что руткит отлично садится на сервер приложений, но не садится на сервер БД? Я десятый раз повторяю, что все атаки, применяемые к серверу приложений, точно так же применимы и к серверу БД. То есть при прочих равных эти варианты вообще не имеет смысла рассматривать. Итак, жду ответа на первый вопрос.
sphinx_mvМСУОпять высер не по теме. Откровенно начал сливать. По делу ответ будет? Я тебе орагументировал, что ты кретин. Ибо только кретин вроде тебя может говорить, что масштабируемость - это хрень на постном масле. Это факт.Защибись "слив"! И офигеть как "не по теме"!
Тут вендор платформы откровенно "крысятничает" с данными, но кому-то еще хочется "отдельных "пруфов!
3.14здец какая аргументация!
Как вообще может адекватный человек так сказать про масштабируемость? Только полный дегенерат вроде тебя. Читай, дурень, и учись уму разуму: WCF Security Guidelines, вот где эффективная безопасность.
sphinx_mvМСУТупица, вся
эта безопасность с успехом может использовать серверами приложений и прочими серверными песочницами. Но не клиентами - удаленными рабочими станциями. Понимаешь разницу между сервером и клиентом? Нет? Убей же себя, наконец
ЛЮДИ!! ГДЕ И КТО ЭТОМУ БРЕДУ УЧИТ?!!!
Опять высер? Приведи примеры, почему безопасность БД не могут использовать сервера приложений? Они, собственно, и должны это делать, бестолочь.
sphinx_mvМСУВ "точке соединения сервера приложений с сервером базы данных" можно вполне использовать повышенные привилегии в рамках конкретного приложения. Именно так и делают нормальные люди. Подчеркиваю, нормальные, а не идиоты вроде тебя
Это 3.14здец!
Нонче критерий нормальности - сделать чем хуже, тем лучше!
И пох вирусы, пох хакеры, пох недовольные сотрудники!
Я плакал от твоей тупости Какие в зад вирусы, дуралейко? Это уже пограничная или внутренняя зоны, это не уровень клиента, который легко ломается, дизассемблируется, ставится jmp. Ты реально такой долбоеб?
sphinx_mvМСУОпять твоя феерическая фантазия всё напутала. Я тебе еще раз говорю, дальше, чем веб-метод - атакующий не уйдет. Он не сможет получить доступ к важной информации БД, если этот веб-метод не публикует её в своем теле. Доступен только набор веб методов для конкретного IPrincipal в разрезе ролей, всё.Это ж 3.14здец!
И пох, что можно полностью перехватить весь траффик, генерированный телефоном за время сессии... И пох , что "интересные" мобильные телефоны "внезапно" могут исчезнуть, а потом точно так же "внезапно" появиться...
И где это мобильный телефон все это время находился, и что с ним все это время делали - лучше всего, естественно, расскажет МСУ... Ага...
Я плакал от твоей тупости
Да перехватывай трафик, хоть обперехватывайся! Причем тут доступ к базе данных? Ты можешь перехватить только то, что отдает веб метод, ни больше. В случае же двухзвенки я могу получить абсолютный доступ к базе данных. Разницу понимаешь, обезьяна?
sphinx_mvМСУВ случае же двухзвенки - я начинаю ковырять всю БД, открывать транзации, лочить объекты и прочее прочее.Даже подключиться с чужого рабочего места не сможете!
И таблицы не залочите! Нет у Вас в БД прав на выборки из таблиц. ФИЗИЧЕСКИ!
Мы же недавно рассматривали пример с блокировкой таблицы через хранимую процедуру, бестолочь?
Во-вторых, имея прямой доступ к БД, можно начать брутфорсом подбирать учетные данные к хранилищу, в котором хранится важнейшая информация. Какой идиот так будет рисковать своими данными, чтобы в открытую публиковать БД? Надеяться на твои говнопроцедуры?
Обезьяна, запомни раз и навсегда, ни один здравый собственник не будет этого делать.
sphinx_mvМСУПора умнеть, бестолочь ВАм это не грозит - поумнеть...
Правильно, потому что мне ума и так хватает для того, чтобы решать конкретные задачи. В твоем же случае - не наличия ума, ни его поступление в черепную коробку, не грозит
sphinx_mvМСУЧудило, что ты там собрался слушать снифером? Ответ веб-метода с XML данными? Убей себя У тебя напрочь нет понимания, что такое SOA, как это работает и для чего оно применяется. Муся, когда узнаешь как твои XML-данные передаются, и какая информация доступна сниферу - подходи!
А тож песец какой-то!
Про компьютерные сети у Муси представлений ноль...
Про TCP/IP - еще меньше...
И это чмо еще кого-то учит как правильно жить! Офигенно!
Дебилоид, ни один вменяемый дилетант в открутую не будет в XML передавать важные данные, поэтому твой сниффинг мало эффективен. Другое дело, когда открыта полностью БД. Я плакал Бегом читать про SOA! Твой позор не смоется веками, тупая курица.
sphinx_mvМСУС какого это перепуга пользователь должен знать какие-то имена баз данных? Пользователь должен знать только логин и пароль.
Ваши личные сексуальные предпочтения совершенно никого не интересуют.
Так что, совершенно похер, какой и отчего у Вас перепуг.
Сходи с сэксопатологу, озабоченная макака. Возможно, поможет. Твои поллюции в форуме мало кому интересны, иди взрослеть в мусорный контейнер. Еще раз, с какого это перепуга пользователь должен знать какие-то имена баз данных?
sphinx_mvМСУТак что снифер можешь засунуть себе в очко и спеть гимн СССР. Толку от него не больше, чем от твоей головы - никакого доступа к БД атакующий не получит.Сниферы Вы, значит, никогда не запускали - уж больно оптимистично Вы к недоступности базы данных относитесь...
Ничего... И от этого Вас время вылечит...
Ты решил сниффером получить доступ к хранилищу? Я тебе уже сто раз объяснял, что снифферы идут курить в лес.
sphinx_mvМСУТолько то, что возвращает веб-метод.То, что Ваши системы никто не взломал не означает, что они неуязвимы.
И это совершенно не значит, что их уже не вскрыли, тол ко Вы об этом ещ ене знаете - и уровень полученного при этом доступа, соответственно, Вам тоже не известен.
Причем тут мои системы? Я тебе говорю по факту, что надежность и безопасность двухзвенок оставляет желать лушего.
sphinx_mvМСУТвой максимальный удел - принимать заявки от пользователей двухзвенного говнософта на первой линии поддержки.
Ой-вей, мне уже страшно, и я уже дрожу! Ага...
Нихера не делать, ни за что не отвечать - и получать за это зарплату?! Да, как два пальца об асфальт!!!
С учетом, что наш главный форумный золотарь, независимо от своих желаний, все это время будет разбирать дерьмо, которое на него будет литься сверху!
В-обсчем, Муска как всегда испугала деда с дробовиком голой жопой!!!
Вижу, устал от рутинного образа жизни в приеме заявок на первой линии поддержки? Решил полезть туда, в чем абсолютный ноль без палочки? Добро пожаловать в SOA, макака!
sphinx_mvМСУТакая карма, так и сгинешь в этом болоте, недоросль.Мусю уже на карму потянуло...Совсем ей вынесло остатки мозгов на двузвенках... Весь Майкрософт патсталом!
Карма, а что ж еще. Весь форум патсталом
