МСУsphinx_mvЧего сказать-то чего хотел, укурок?!
Я не в том порядке перечислил уровни? Ржунимагу!!!
В каком бредогенераторе родилась твоя идея, что "наиболее часто" эквивалентно "всегда"?!
Ты вообще в курсе, что нумерация слоев в модели для физического - первый, а для прикладного - седьмой?
Теперь начнешь петь "военные песни", что "низззя" идти от физического уровня к прикладному точно так же как от прикладного к физическому?! Ну, начинай!
Фееричная невростеничная макака уже не знает, что написать? Ясно. Пишешь ради букав уже.
Как твоё приплюснутое сознание сгенерило факт того, что "наиболее часто" не имеет права на жизнь?
Во-первых,
Ваш бред мое сознание сгенерировать никак не могло - это у Вас что-то "странное" с Вашим "сознанием" творится.
Во-вторых, чего Вам не понравилось моем описани модели OSI, Вашего внятного ответа так и не было ни разу получено.
В-третьих, как и ожидалось, "военные песни" Вы поете плохо - даже слова выучить не можете.
МСУsphinx_mvМСУТы считаешь это не дыркой, когда пользователь может вот так свободно открывать соединения с базой данных, содержащую важнейшую информацию, выполнять запросы, баловаться с уровнями изоляции, брутфорсить СУБД?НЕ СЧИТАЮ!
Потому, что безопасность системы определяется не только тем, ЧТО может пользователь сделать в системмк, но и как КОНТРОЛИРУЮТСЯ действия пользователя! Ну, так вот. С контролем у нас(!) все вполне неплохо!
ЗЫ. Кстати, это именно Вы обещали брутфорс паролей на сервер базы данных - все еще ждем-с...
ЗЗЫ. А дырка у Вас в мозгах - и одна на ВСЮ голову
Безопасность системы определяется прежде всего тем, что может пользователь. Покажи мне хоть одного кретина вроде тебя, кто шарит сервер БД в интернет Хоть обконтролируйся ты с действиями пользователя, но такая схема катастрофически небезопасна. Пояснять почему?
А какой кретин решил, что мои 100500 пользователей
обязаны "шарится через интернет"?!
И что МОЖЕТ пользователь, определяется ПРАВИЛЬНЫМИ политиками безопасности: права пользователя на компьютере, права пользователя в базе данных, администрирование локальной сети.
И "внимательно" вспоминаем, что пользователь, под которым Ваш сервер приложений "стучится в базу данных",
МОЖЕТ ВСЕ !!!
МСУТем не менее, это глючное, тормознутое, корявое, прожорливое до ресурсов ПО, обслуживает сотни миллионов людей и сотни миллиардов транзакций в месяц. Тебе такие объемы и не снились, обезьяна.
"В то время как космические корабли (и дальше по тексту)"... Ага... Вас самого от Вашей РЫГЛАМЫ не тошнит???
Самое главное, Вы соглашаетесь, что это ПО - глючное, тормознутое, корявое и прожорливое! И Вы че, всерьез считаете, что если Вы жрете это дерьмо, другие тоже обязаны его жрать???
МСУsphinx_mvМСУКакое OSI, дуралей? Где SQL инъекция wcf сервиса? Где получение доступа к БД через wcf сервис? Пока не будет ответа на эти 2 вопроса, ты так и будешь ходишь на уровне плинтуса.Идиот, который
"может использовать, а может не использовать" безопасность на сервере базы данных может не только на sql-иъекции "залететь".
Ты не увиливай, тормоз. Давай расскажи нам, как можно в wcf залететь на SQL инъекции. Расскажешь?
Ваш недостаток количества мозгов не дает Вам понять понимаете, что работа с сервером баз данных даже через сервер приложений и даже через WCF для SQL-инъекции не представляет никакой преграды?!
Если у Вас проблема с включением собственных мозгов (собственно, было бы чего включать), то вот Вам "маленький букварик" от "производителя" -
Таблица угроз и уязвимостей (компонент Database Engine) .
Сейчас наш "крутой специалист" начнет "вытанцевать", что это, типа, только к серверу базы данных относится... Ага... Ведь нашему "форумнуму гению" совершенно не известно, что уязвимости нижнележащих уровней могут быть эксплуатированы транзитом через все верхние уровни - для ЛЮБОЙ схемы разворачивания приложений.
МСУsphinx_mvМСУЕще раз задаю вопрос: Что такое прочность системы? Как проверить, насколько прочна система? Чтобы проверить прочность системы "кирпичная стена", МСУ должен разбежаться и врезаться в стену головой. И так до тех пор, пока не словается стенка, либо не разобъется голова МСУ. Таким образом будет получена прочность сиетемы "кирпичная стена", выраженая в условных единицах "удар головой МСУ".
Таки мы не услышали определение прочности системы, за сим ты тут опять обосрался. Слив? Если Ваша голова не выдерживает первого же теста прочности системы "кирпичная стена" - не удивительно, что Вы "не услышали" определение прочности. Получается, МСУ не смог проверить прочность системы "кирпичная стена" своей головой - а "слив" (почему-то) у кого-то другого!!!
МСУsphinx_mvМСУТы только что сам сгенерил какую-то хрень, сам понял, что обосрался, и начал выдумывать про какую-то системную инженерию. Пестец какой-то Мне не нужно выдумывать "какую-то системную инженерию" - это вполне
официальная научная дисциплина. Спросите у гугля - он все знает!
Спроси лучше у гуля, гуль Что-то не заметно, чтобы Ваш отпуск на даче купца Канатчиковых приносил какие-то положительные результаты...
МСУsphinx_mvПечально, что наш "гениальный архитектор особо сложных программных комплексов на 3-х-звенной архитектуре" ни разу об этой науке не слышал(словесный понос бредогенератора поскипан)
МСУКакого глючного кода? О каких "глюках" идет речь?
Явно открытие транзакции - это глючно? Так как Вы делали -
внутри хранимой процедуры ?! На MSSQL сервере?! Да!
МСУА как я делал внутри хранимой процедуры? На MSSQL сервере?
Ну, Вам-то лучше знать, что, где и как Вы делали...
МСУsphinx_mvОтлуп из-за неверно набранного пароля - это НЕ КАЖДЫЙ, а вполне КОНКРЕТНЫЙ!
Настройка уровней аудита и перечня регистрируемых событий - вопросы из сертификационного экзамена по администрированию сервера баз данных...
Пруф в студию по настройке этого вида аудита в самом SQL сервере.Не вопрос!
Вот Вам
пруф по настройке аудита на сервере баз данных (от одного вендора)... Пример настройки сервера непосредственно "по этому виду аудита" (с)
Failed Logon Attempts
Вот Вам
пруф по настройке аудита на сервере баз данных (от другого вендора).... По "этому виду аудита" (с) -
Login Failed Event .
Развлекайтесь!
МСУsphinx_mvИ какие-проблемы? Нет сети - нет доступа к серверу БД. Нет доступа к БД - нет записи в лог аудита сервера БД.
Выше ты писал про просто подключения, а теперь начинаешь про ошибка "авторизации"? Кстати, разницу понимаешь между аутентификацией и авторизацией, бестолочь? И че?! Какая нафиг разница, в какой момент оборвалась связь к серверу базы данных - во время подключения или в процессе работы?!
Обрыв связи откатывает открытые транзакции и закрывает соотвествующие соединения - мусье не в курсе?
Ниче, теперь будет знать...
МСУsphinx_mvпропущено...
Во-первых, Вам уже неоднократно говорили - перечень вендоров SQL-серверов не ограничиваются только Майкрософтом.
Во-вторых, криворукие и рукожопые сетевые администраторы, не способные физически локализовать компьютер в своей собственной локальной сети - НЕ аргумент.
Во-первых, мы тут как бы о майкрософте и говорим. Примеры на T-SQL пишем. Ты сам постоянно оперируешь этим словом.
В каком месте я вооще T-SQL упоминал и по какому поводу, не напомните?
И вообще - Вы обсуждаете сервера баз данных! Вот сервера баз данных мы и будем обсуждать!
МСУВо-вторых, я таки не увидел от тебя этой фишки по MS SQL. Пример будет или опять слив?Предпрочитаю забивать гвозди молотком, и не так как Вы закручивать их отверткой! Какой нах "слив"?!
Хотя, если Вы продемонстрируете встроеный инструментарий для апп-сервера, да еще и на WCF, который позволяет управлять раздачей IP-адресов, таблицей маршрутизацией и правилами брандмауэра в о всей сети - я об этом
обязательно подумаю ! Чесслово!!!
МСУsphinx_mvИшо? У Вас пользователи еще и административные права себе могут проставить?! В локальную сеть можно любой "левый" девайс подоткнуть - и за этим никто не следит, и это никто не видит?!
Смеялсо - это, оказывается, называется "защищенная информационная система"... Ага.
Я в соседнюю розетку локальной сети свой комп не могу переключить, чтобы мне (на всякий случай) через пару минут администратор не позвонил по телефону. А тут неизвестный компьютер в сети неизвестно где подключен - и всем пох! М-да... По Вашей ссылке - очень подходящий пример пофигизма в информационой безопасности...
В чем смысл твоего высера? Точно так же можно следить за сервером приложений. Что дальше то?Песец!
Этот "форумный гений" так и не понял, что безопасность информационной системы НЕ РЕАЛИЗУЕТСЯ за счет безопасности только одного ее узла!
МСУsphinx_mvпропущено...
Вам дали конкретное условие: длина пароля 10 символов. Теперь в рамках этого условия и решайте поставленную задачу.
Я и написал про SSD. Прочитал? Поломка пароля - вопрос времени. Реального.
Реального?!
В Вашей "альтернативной" реальности - возможно!
Только хэш пароля для подключения к SQL-серверу получите для начала, что ли...
МСУsphinx_mvмусье не заметил, что приводился пример взлома паролей WinXP на основе хэща пароля? Скромное такое условие - нужно знать хэш пароля, котрый в самом хреновом случае хранится на сервере БД. Типа, плевое дело... Вот то ли дело "надорваться" взламывать сервер приложений (физический или виртуальный сервак аккурат под виндой) и перехватить его строку подключения к серверу БД. Ага...
Так а зачем мне рисковать данными, потому что есть какие-то "множества факторов"? Не проще ли просто не рисковать, а использовать человеческий SOA для аутентфикации, авторизации и бизнеса?"Множество факторов"?! Охренительная трава у Вас!
То ли дело один единственный фактор - грохнуть сервер приложений - и все данные на тарелочке!
Свежачок - об "неуязвимости" интернет-сайтов, про который мы все однозначно знаем, что они - N-Tier, и соотвественно, по Вашему мнению априори надежнее, чем серверы баз данных. Ну, что ж... Начнем "разбор полетов"...
Взломан официальный форум Ubuntu :Детали атаки пока не известны, но есть основания полагать, что
вся пользовательская информация была скомпрометирована, включая пароли, логин и адрес электронной почты .
iOS Developer Center взломан Три дня iOS Developer Center был выключен и только сейчас Apple объяснила причину. Причиной сбоя послужило проникновение хакеров. Разработчикам разослали сообщение, в котором компания говорит, что в четверг обнаружила проникновение в Dev Center и
хакеры могли получить доступ к именам, физическим и почтовым адресам разработчиков . Пока информации о взломах аккаунтов разработчиков нет, но
нападающие уже использовали полученную информацию для рассылки поддельных писем, например с просьбой восстановления пароля .Итого, за три дня два серьезных инцидента в известных софтверных компаниях, которые наверняка не щи лаптем хлебают в информационной безопасности!
А тут предлагается "наколенное" поделие какой-нибудь малоизвестной софтоклепательной конторки, котрое решит любую проблему безопасности любого заказчика!!! Ага... "Внезапно"!
МСУsphinx_mvВы утверждаете, что на SOA "залететь" на SQL-инъекцию невозможно? Вы
абсолютно уверены в качестве предоставленных Вам интерфейсов на сторонних ресурсах?
1. Да, я именно это и утверждаю. Выше я писал, что варианты передачи SQL строки в веб метод не рассматриваются, ибо такую жесть в SOA может придумать только полный кретин вроде тебя.Остатки Ваших мозгов не позволяют Вам понять, что веб-метод на стороннем ресурсе вполне может обращаться sql-серверу запросом, содержащий динамический SQL. И это если предположить, что в процессе работы над текущим продуктом в реализации Ваших собственных веб-методах не выполняется неявное преобразование типов данных в параметрах.,
МСУ2. Почему ты отвечаешь вопросом на вопрос? Я тебя десятый раз прошу привести пример SQL инъекции через WCF. Когда он будет?А я уже в 100500 раз повторяю: если Вы используете SQL, Вы
можете получить SQL-инъекцию. Специально для Вас, "всего такого самоуверенного", Microsoft написала руководство по http://msdn.microsoft.com/ru-ru/library/bb500276%28v=sql.105%29.aspx]предотвращени. угроз и
снижению уязвимости -
снижению , а не полному
исключению !
