|
Двузвенка - как прячете пароли?
|
||
|---|---|---|
Участник
Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщения: 39 476 |
||
| 20.04.2019, 16:26 |
|
|
|
|
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
>вадя, сегодня, 10:50 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21867703][21867703] >...по двухзвенке - получается , что у юзера логин/пароль от базы. <Я тебе про Фому, ты мне про Ерёму. Есть у меня таблица в базе данных, где реализуется связи между клиентами и приложениями. В записях этой таблице есть поле для ролей юзера (у меня примитивные - может/не может). Простые выкладки для прототипа - 100(клиентов)х20(приложений) итого 2000 записей. За каждой записью надо закрепить примерно 8 галок (названия их для каждого приложения свои). Итого 16 000 галок. Не повесят меня секадмины? Потом это всё надо распечатать и подписать (20 страниц). Стоит ли овчинка выделки? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.04.2019, 11:17 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
ViPRosа почему ты так уверен что con.Open() сразу тебе открыл все ворота? Далее будет защита только на уровне ограничений, поддерживаемых БД. И эти ограничения кто-то должен создать. Если есть некая формочка, где галками делается натыкивание прав и потом этот материал переводится в гранты для БД, плюс БД поддерживает тонкую настройку ограничений доступа, плюс всё написано на хранимках, проверяющих ещё и row level rights, плюс эти row level не завязаны на бизнес логику (иначе опять лапша выйдет), плюс все возможности IDE используются и для хранимых процедур, которые пишутся на привычном и приличном языке (ну хотя бы на C#), плюс коммуникации с клиентом закрываются чем-то типа SSL. Вот тогда всё будет более или менее нормально. Но! Но обычно этого всего нет. Если даже части этого нет - уже опасный компромисс. Плюс если ориентироваться только на мелкософт, то это vendor lock, что само по себе совсем не гуд. В общем трёхзвенка решает все перечисленные вопросы и тем самым по всем перечисленным вопросам явно лучше двухзвенки. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.04.2019, 11:35 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
А кого беспокоит 16000 записей в таблице? Зачем распечатывать? Может 8 галок росто сгруппировать в одну роль? (By design) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.04.2019, 11:35 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
>mayton, сегодня, 11:35 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21867717][21867717] >А кого беспокоит 16000 записей в таблице? <Ну не 16 000 а только 2 000, 16 000 количество галок. А беспокоит это секадмина, того, кто будет сопровождать. >Зачем распечатывать? <Возможности юзера определяют начальники отделов, включая безопасника. Они и подписывают сей манускрипт. >Может 8 галок росто сгруппировать в одну роль? (By design) <Да кто ж знает как лучше. В моей реальной действительности, юзер, к примеру, мог редактировать информацию в одной таблице, из других только подставлять. 8 таблиц,- 8 галок ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.04.2019, 13:34 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
Чем мы в топике дальше будем заниматься? Удовлетворять безопасника? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.04.2019, 14:41 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
>mayton, сегодня, 14:41 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21867789][21867789] >Чем мы в топике дальше будем заниматься? Удовлетворять безопасника? <Хотелось бы услышать мнение коллег по эффективности 2-. 3- звенок в различных системах (ситуациях), в частности и о моей болячке - есть замкнутая локальная сеть и никакого интернета, функционал включает задачи ГИС. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.04.2019, 15:29 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
>Petro123, сегодня, 16:26 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21867820][21867820] >Ты уже спрашивал <Я не студент и не академик,- инженер, а значит червь сомнений всегда со мной. Да и повторение - мать учения. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.04.2019, 17:28 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
ВМоисеев, в удовлетворении безопасника - самое главное - защитить свою жопу. поэтому, если безопасника устраивает 16к галок - пусть их контролирует и управляет секадминами. ты своё сделал - можешь спать спокойно ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.04.2019, 18:11 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
alex55555В общем трёхзвенка решает все перечисленные вопросы И каким образом вы реализовали тонкую настройку ограничений доступа, row level rights? Причём обеспечили малую связанность (coupling) подсистемы безопасности и бизнес логики? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 11:37 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
вадяВМоисеев, в удовлетворении безопасника - самое главное - защитить свою жопу. поэтому, если безопасника устраивает 16к галок - пусть их контролирует и управляет секадминами. ты своё сделал - можешь спать спокойно Мне кажется что любая задача безопасности в конечном счете сводится к манипуляциям ACL над деревом subjects. Это с точки зрения UI. По аналогии с списками доступа NTFS. Поэтому 16 галок будут в плохой системе. В хорошей - будет роль. И связь принципал-роль. Принципал получает роль. Точка. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 11:50 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
maytonПоэтому 16 галок будут в плохой системе. В хорошей - будет роль. И связь принципал-роль. Принципал получает роль. Точка. В реальной жизни количество ролей приближается к количеству пользователей, а иногда и превышает :) Я видел роли - "Сидоров", "Сидоров начальник", "Сидоров просто"... это если у тебя есть возможность клонировать роли и т.д. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 13:32 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
>mayton, сегодня, 11:50 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21868119][21868119] >Поэтому 16 галок будут в плохой системе. В хорошей - будет роль. И связь принципал-роль. Принципал получает роль. Точка. <Хорошо. Давайте на пальцах разрулим мои ситуации, что на слайде. Некий юзер работает с информацией Хранилища и хочет откорректировать данные по пользователю, например изменить принадлежность к отделу. Двойной клик - имеем картинку слайда. Текущее состояние приложения для данного юзера включает битовый набор флажков ролей, что оно получает при запуске от лаунчара. Ситуация1: Флажки для таблиц (или UserControl, что аналогично форме) Пользователи и Отделы подняты и он может (создавать, уничтожать, редактировать, хранить, подставлять и завершать работу с формой), что иконки в левом столбце. Выбор Подстановка для формы Отделы переносит информацию в форму Пользователь. Ситуация 2: Флажок для Отделы опущен юзер может только смотреть и выбирать с подстановкой. Из иконок должны остаться только (подстановка,выход) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 13:47 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
>ViPRos, сегодня, 13:32 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21868166][21868166] >...В реальной жизни количество ролей приближается к количеству пользователей… <Никак не могу донести свою болячку - абстрактная роль пользователя мне мало что дает, нужна его роль в конкретном приложении, ибо инфосистема строится не монолитом, а множеством приложений. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 13:55 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
ВМоисеев>ViPRos, сегодня, 13:32 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21868166][21868166] >...В реальной жизни количество ролей приближается к количеству пользователей… <Никак не могу донести свою болячку - абстрактная роль пользователя мне мало что дает, нужна его роль в конкретном приложении, ибо инфосистема строится не монолитом, а множеством приложений. А я вот не пойму, в чём конкретно у Вас проблемы. Вы структуру описать не можете, или UI построить, или всё вместе? Почему роль абстрактная? Обычно есть набор базовых ролей, их комбинации, возможность добавлять свои и связывать их с неким разрешённым набором действий. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 14:07 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
>Дмитрий Мух, сегодня, 14:07 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21868188][21868188] >Почему роль абстрактная? <Как с ними реально работать в конкретных приложениях. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 14:17 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
ВМоисеев>Дмитрий Мух, сегодня, 14:07 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21868188][21868188] >Почему роль абстрактная? <Как с ними реально работать в конкретных приложениях. Как проверять роли на уровне приложения, а не на уровне базы, операционной системы? Код соотвествующий написать, встроить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 14:23 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
ВМоисеев>ViPRos, сегодня, 13:32 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21868166][21868166] >...В реальной жизни количество ролей приближается к количеству пользователей… <Никак не могу донести свою болячку - абстрактная роль пользователя мне мало что дает, нужна его роль в конкретном приложении, ибо инфосистема строится не монолитом, а множеством приложений. Ну, сделай - [Приложение -> Роль] , Пользователь -> [Приложение -> Роль], ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 14:46 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
ВМоисеев>ViPRos, сегодня, 13:32 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21868166][21868166] >...В реальной жизни количество ролей приближается к количеству пользователей… <Никак не могу донести свою болячку - абстрактная роль пользователя мне мало что дает, нужна его роль в конкретном приложении, ибо инфосистема строится не монолитом, а множеством приложений. Товарищ, открой для себя модель ABAC и используй Claims ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 15:17 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
Arm79ВМоисеев>ViPRos, сегодня, 13:32 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21868166][21868166] >...В реальной жизни количество ролей приближается к количеству пользователей… <Никак не могу донести свою болячку - абстрактная роль пользователя мне мало что дает, нужна его роль в конкретном приложении, ибо инфосистема строится не монолитом, а множеством приложений. Товарищ, открой для себя модель ABAC и используй Claims ABAC - это обобщение и улучшение ролевой модели. Если у него с последним сложности, то и с первым такие же будут. Вот только пока не понятно в чём конкретно сложности-то. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 15:30 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
я так понял, обычных ролей ему не хватает, нужна еще дифференциация по правам внутри одной роли ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 15:33 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
Пусть на бумаге нарисует матрицу. По вертикали - пользователи. По горизонтали - привилегии. Роли будут видны невооружённым глазом. Как повторяющиеся комбинации флажков. Отделы. Можно представить - как третье измерение для данной матрицы. Либо рассмотреть новую матрицу отделы-привилегии. И связать ее с пользователями ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 16:10 |
|
||
|
Двузвенка - как прячете пароли?
|
|||
|---|---|---|---|
|
#18+
>ViPRos, сегодня, 14:46 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311475&msg=21868207][21868207] >Ну, сделай... <И шо я буду с этого иметь. Мне нужны роли (права или ещё что-то, как угодно назовите) юзера для конкретного приложения в параметрах его запуска. Сделал так: 1. имею таблицу с полями (суррогатный ключ юзера, суррогатный ключ приложения, код) 2. имею ХП Код: sql 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. Обращаюсь из пускача и получаю то, что мне надо для запуска доступных приложений инфосистемы ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2019, 16:39 |
|
||
|
|
start [/forum/topic.php?fid=33&msg=39804515&tid=1547157]: |
0ms |
get settings: |
9ms |
get forum list: |
11ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
49ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
53ms |
get tp. blocked users: |
1ms |
| others: | 251ms |
| total: | 391ms |
| 0 / 0 |
Извините, этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
... ля, ля, ля ...
