|
iscrafmпростой пример двойного барьера и почему это безопасней... ... Второй барьер - на твой телефон приходит sms с единоразовым паролем.
И всё это имеет прямое и непосредственное отношение к трёхзвенке
hey_123а как трехзвенку можно сделать менее надежной чем двухзвенка?
Вот уж для этого стараться не надо :) Больше компонент, сложнее схема взаимодействия - следовательно, уже заведомо менее надёжна при прочих равных. Больше мест потенциальных дырок. Уже одно только фактическое отключение безопасности СУБД из-за использования пула соединений - что является характеристикой подавляющего большинства трёхзвенок - мягко говоря, не только рушит пресловутый "второй барьер", но и зачастую оставляет только нииииизенький заборчик.
hey_123Либо наоборот надежнее?
Анекдот про Неуловимого Джо помните? Дырки в СУБД ежедневно в течение многих лет ищут сотни, а то и тысячи людей. Дырки в Васиной прикладухе будут искать один-два человека пару раз по несколько дней, вряд ли больше. Таким образом, если Вася соображает в безопасности, педантичен, аккуратен и не оставил очевидных дыр, всякие тонкие щели - которые в безопасности широко распространённого софта рано или поздно найдут и опишут - в случае его СуперКрутойАптечнойСистемыУрюпинска останутся девственны. Опять же, СУБД Вы можете бесплатно скачать и до посинения искать дыры у себя на компьютере, анализируя её со всех сторон, а откуда Вы добудете на исследование инсталляцию Васи?
hey_123Это если временно обстрагироваться от дыр в самой СУБД. По сути ведь разница в наличии/отсутствии прямого соединения, и все. Если есть косячная ХП, позволяющая скажем sql injection, то как тут 3-х звенка поможет/помешает? Точно так-же параметр просто передастся через промежуточное звено и уйдет в базу.
Может и помочь, и помешать. Скажем, если типичная тупая трёхзвенка просто транслирует вызовы с AS в DB, то за счёт пула соединений код injection будет выполнен не с правами вызывающего пользователя (= минимальными), а с правами суперпользователя. Как следствие, трёхзвенка будет хуже. С другой стороны, Вася вполне может прикрутить к классу "вызыватель хранимки" в AS проверку строковых параметров, это делается один раз и достаточно надёжно накрывает все будущие модификации, в отличие от хранимок, где надо проверять каждый входной параметр (и где заведомо кто-то где-то забудет).
hey_123На самом деле пожалуй приведенный вами пример про оракл является аргументом за трехзвенку.
Безусловно. Вопрос только в том, что в "ораклах" таких багов на несколько порядков меньше, чем у Васи Криворучкина. Поэтому и есть баланс: в RDBMS багов меньше, но ищут их тщательнее и проблем от найденных больше; у Васи багов полная тележка, но кто будет их толком искать? Что безопаснее - соответственно, вопрос неочевидный, в разных случаях по-разному.
hey_123Хотя конечно и с натяжкой, во-первых такие баги надо знать, а как только они становяться известными их фиксят,
Вообще-то их стараются фиксить до того, как они станут известными. Выпускают патч, и тогда оповещают пользователей - мол, установите, а то есть критическая угроза безопасности. Но вопрос в том, кто первый найдёт такую дыру - если "злой" хакер, то он может весьма выгодно приватно продать такое знание.
hey_123 во вторых мало-ли какие баги есть которые позволят получить sysdba и вообще без права на коннект.
Ну, таких действительно мало, если говорить о серьёзном софте. Вот такие баги - характерная черта как раз Васиных поделок. В нормальном софте обычно надо очень постараться, по крохам набирая права - имея коннект, получить чуть больше, оттуда пролезть чуть дальше, оттуда ещё дальше, и оттуда может наконец-то удастся добраться до дырки, дающей полный доступ. Посмотрите сводки по найденным проблемам безопасности - там типичное сообщение "пользователь, имеющий право на А, мог незаконно получить доступ к Б".
hey_123А вот от ХП это вроде не должно зависеть, как тут 3-е звено влияет?
Ну как... поймаю я куку от соседа, и никакие ХП уже не спасут, вот так и зависит
hey_123Да. Тем более все равно этот пароль прослушать можно при желании
Это уже отдельная тема, которую надо закрывать. Но в любом случае, прослушивание "пароля сервера" куда опаснее. Правда, если AS и DB на одной машине, то пароль не обязан светиться в сети. Правда, это убивает идею дешёвой кластеризации, являющуюся одним из аргументов за трёхзвенки.
|
