|
|
|
Обращение с сайта к конфиденциальной бд
|
|||
|---|---|---|---|
|
#18+
Есть домен. В домене сервер с ms sql server 2005. На нем бд с конфиденциальной информацией. Надо сделать для клиентов возможжность обращаться к этой бд через интернет. Кленты должны в браузере вводить № заказа, нажимать кнопку, и в ответ получать исполнен их заказ или нет. Информация об исполненности заказа не является конфиденциальной. Вопрос: как лучше всего с точки зрения безопастности организовать такую проверку? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.10.2007, 17:43 |
|
||
|
Обращение с сайта к конфиденциальной бд
|
|||
|---|---|---|---|
|
#18+
diwwwВопрос: как лучше всего с точки зрения безопастности организовать такую проверку? C точки зрения безопасности лучше всего выкладывать "открытую" информацию из "конфиденциальной" базы в то место, откуда ее сможет забрать сайт. То есть, либо на сайте, либо где-то недалеко сделать сервис/базу, который будет иметь только информацию о выполнении заказов. "Закрытая" база при обновлении статуса заказа будет дергать сервис и сообщать ему об изменении; сайт - соответственно, обращаться к сервису и показывать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.10.2007, 18:46 |
|
||
|
Обращение с сайта к конфиденциальной бд
|
|||
|---|---|---|---|
|
#18+
diwww 1. Надо сделать для клиентов 2. Кленты должны в браузере вводить № заказа, нажимать кнопку, и в ответ получать исполнен их заказ или нет. 1. Вы различаете клиентов как-то? 2. горизонтальной view (можно даже ограничить права, под которыми будет работать app-server с sql server), если клиент может спрашивать только 'свои заказы', то + вертикальный фильтр по идентифицирующим клиента данным ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.10.2007, 19:11 |
|
||
|
Обращение с сайта к конфиденциальной бд
|
|||
|---|---|---|---|
|
#18+
KGP(можно даже ограничить права, под которыми будет работать app-server с sql server) Слово "даже" приводит меня в бурный восторг. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.10.2007, 19:27 |
|
||
|
Обращение с сайта к конфиденциальной бд
|
|||
|---|---|---|---|
|
#18+
softwarer KGP(можно даже ограничить права, под которыми будет работать app-server с sql server) Слово "даже" приводит меня в бурный восторг. рад за вас, чем бы не тешилось. однако если то же app-server отвечает и за вставку-другие_выборки, то безопасность уже надо будет доорганизовывать внутри app-server. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.10.2007, 19:32 |
|
||
|
Обращение с сайта к конфиденциальной бд
|
|||
|---|---|---|---|
|
#18+
softwarer diwwwВопрос: как лучше всего с точки зрения безопастности организовать такую проверку? C точки зрения безопасности лучше всего выкладывать "открытую" информацию из "конфиденциальной" базы в то место, откуда ее сможет забрать сайт. То есть, либо на сайте, либо где-то недалеко сделать сервис/базу, который будет иметь только информацию о выполнении заказов. "Закрытая" база при обновлении статуса заказа будет дергать сервис и сообщать ему об изменении; сайт - соответственно, обращаться к сервису и показывать. над этим тоже думал, так скорее всего и буду делать :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.10.2007, 10:06 |
|
||
|
Обращение с сайта к конфиденциальной бд
|
|||
|---|---|---|---|
|
#18+
KGP1. Вы различаете клиентов как-то? Нет т.е. любой человек вводит № заказа и получает ответ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.10.2007, 10:07 |
|
||
|
Обращение с сайта к конфиденциальной бд
|
|||
|---|---|---|---|
|
#18+
diwww KGP1. Вы различаете клиентов как-то? Нет т.е. любой человек вводит № заказа и получает ответЭто не есть хорошо... Ошибся в номере - увидел, что заказ исполнен. Приехал, устроил скандал, когда сказали - что не исполнен. Если показывать ФИО клиента - то теряется конфиденциальность. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.10.2007, 10:54 |
|
||
|
Обращение с сайта к конфиденциальной бд
|
|||
|---|---|---|---|
|
#18+
diwwwНет, т.е. любой человек вводит № заказа и получает ответ номер порождается на уровне newid()? думаете, что номер_заказа + ФИО + выполнен ли = конфиденциальная информация? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.10.2007, 11:21 |
|
||
|
Обращение с сайта к конфиденциальной бд
|
|||
|---|---|---|---|
|
#18+
KGPдумаете, что номер_заказа + ФИО + выполнен ли = конфиденциальная информация? ФИО клиента - вообще говоря, конфиденциальная информация. И я согласен с тем, что это действительно нехорошо. Другой вопрос, что избежать этого достаточно легко - можно сделать мало-мальски устойчивый к ошибкам номер заказа. Например, внести в него номер клиента. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.10.2007, 11:25 |
|
||
|
|
start [/forum/topic.php?fid=33&fpage=49&tid=1548984]: |
0ms |
get settings: |
11ms |
get forum list: |
14ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
47ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
50ms |
get tp. blocked users: |
2ms |
| others: | 13ms |
| total: | 156ms |
| 0 / 0 |
