|
Настройка доступа ExternalFileAccess
|
||
|---|---|---|
Участник
Откуда: бурятский тундрюк, эсквайр
Сообщения: 33 443 |
||
| 26.11.2014, 17:03 |
|
|
|
|
|
Настройка доступа ExternalFileAccess
|
|||
|---|---|---|---|
|
#18+
Ivan_Pisarevsky, А если ещё и под chroot'ом... Жаль, что штатные инсталляторы под Win32/Win64 не умеют ни того, ни другого. NickDee, > Достаточно поставить ExternalFileAccess = Full. Угу, "а вы вон на шкаф залезьте и вон туда голову просуньте" Что в замен, запретить Full? А на девелоперских машинах? а на унаследованных инсталляциях, где этого не было? Но в принципе что-то в этом есть. За одним исключением, "Full" - это как использование DCOM, это декларация, что программа работает в доверенной среде без мошенников и вирусов. И Если кто-то может это гарантировать - то почему бы и нет. > Ещё при "ExternalFileAccess = Restrict ..." можно создавать fbd-файлики любого содержания, и потом натравливать на них сервер. Да, интересный сценарий. > Имхо достаточно забрать доступ к созданию таких таблиц для обычных пользователей. Это все весьма резонно. Но не относится к недавнему желанию сделать, чтобы drop table удалял файлы на диске :-) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2014, 17:02 |
|
||
|
Настройка доступа ExternalFileAccess
|
|||
|---|---|---|---|
|
#18+
подарите ему кто-нибудь бильярдный шар Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2014, 17:03 |
|
||
|
Настройка доступа ExternalFileAccess
|
|||
|---|---|---|---|
|
#18+
NickDeeUdf я пользуюсь давно, и не вижу проблем с безопасностью. не понял почему. http://www.firebirdfaq.org/faq203/ http://ibexpert.net/ibe/index.php?n=Doc.ConfiguringFirebird Как говорится, "Достаточно поставить UdfAccess = Full." После этого цепляемся в любым DLL операционки и начинаем создавать пользователей, открывать файлы, открпалять файлы по HTTP через WinInet и на что фантазии хватит ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2014, 17:07 |
|
||
|
Настройка доступа ExternalFileAccess
|
|||
|---|---|---|---|
|
#18+
В чём конкретно претензии к FB ? По-умолчанию всё закрыто. Потенциальная небезопасность некоторых настроек документирована. Никто, кроме sysadmin'а не может изменить настройки на небезопасные. Чего вам ещё не хватает ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2014, 17:12 |
|
||
|
Настройка доступа ExternalFileAccess
|
|||
|---|---|---|---|
|
#18+
NickDeeПричём это может делать любой юзер с любыми правами. Достаточно поставить ExternalFileAccess = Full. потому и ввели в 2000 году полный запрет на external table, по умолчанию. А "если поставить Full доступ" - ну поставь права гостю на все файлы в любой ОС. Или дай юзеру права рута. то же самое ведь будет NickDeeМожно в "C:\Program Files (x86)\Firebird\Firebird_2_5\UDF\" создать dll любого содержания (это я проверил), зарегистрировать её в качестве UDF, и выполнить. И опять же это может сделать любой бесправный юзер. Эта фигня была известна еще в 97-98 годах, когда не было ограничения к файлам UDF. Сначала его ввели в 5.x, а потом в 6.0 и external file ограничили. И не прошло и 14 лет, как ты вдруг УВИДЕЛ чудовищную дыру. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2014, 17:14 |
|
||
|
Настройка доступа ExternalFileAccess
|
|||
|---|---|---|---|
|
#18+
Ivan_PisarevskyССЗБ запускающие прикладной сервис от рута должны страдать, тут просто без вариантов. У меня другая позиция. Я считаю что должны страдать все, кто пользуется кривописанным софтом :) А кто не хочет страдать, тот должен избегать пользоваться таким софтом, и лучше избегать интуитивно, как это уже делает подавляющее большинство нелюбителей страдать :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2014, 17:37 |
|
||
|
Настройка доступа ExternalFileAccess
|
|||
|---|---|---|---|
|
#18+
kdvИ не прошло и 14 лет, как ты вдруг УВИДЕЛ чудовищную дыру. Ага, в первый же час использования :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2014, 17:55 |
|
||
|
Настройка доступа ExternalFileAccess
|
|||
|---|---|---|---|
|
#18+
NickDeeЯ считаю что должны страдать все, кто пользуется кривописанным софтом :) то есть, Firebird, и любая ОС, где явно надо давать разрешения, является кривописанным софтом? мне кажется, у тебя уже зашкалило. Я за тебя должен додумывать, что ты предлагаешь запретить режим Full? Про udfAccess вообще никто не вспоминает, потому что обычно не надо, хватает умолчания. А про FileAccess вспоминают, когда надо первый раз настроить, причем все делают (и тут советуют) Restrict. Если человек ставит Full, то либо он дурачок, либо ему все пофиг. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2014, 18:41 |
|
||
|
Настройка доступа ExternalFileAccess
|
|||
|---|---|---|---|
|
#18+
NickDeeЯ считаю что должны страдать все, кто пользуется кривописанным софтом :)Ух ты, ну надо же! У тебя есть прецедент не кривого софта? Я тебе по секрету скажу, весь софт тотально крив, даже тот, который писал лично ты (и я, все тут присутствующие). Поэтому придумано множество технологий ограничения доступа софта с различным ресурсам, которые действуют на разных уровнях. И приведение исходного кода прикладного софта к "некривому" виду это, внезапно, всего лишь один из уровней обеспечения безопасности, и точно ну никак не панацея от всех проблем. Всякие ченжруты, аппарморы/селинуксы, виртуалки, файрволы, логирование, права доступа ОСи и т.п придумали трусы! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2014, 08:42 |
|
||
|
|
start [/forum/topic.php?fid=40&msg=38817606&tid=1563172]: |
0ms |
get settings: |
8ms |
get forum list: |
15ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
168ms |
get topic data: |
9ms |
get forum data: |
3ms |
get page messages: |
50ms |
get tp. blocked users: |
1ms |
| others: | 205ms |
| total: | 465ms |
| 0 / 0 |
