Пользователь у которого нет прав доступа к объекту все равно может видеть исходный код / PostgreSQL

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / PostgreSQL [игнор отключен] [закрыт для гостей] / Пользователь у которого нет прав доступа к объекту все равно может видеть исходный код

7 сообщений из 7, страница 1 из 1

Пользователь у которого нет прав доступа к объекту все равно может видеть исходный код

#39557050

Skoffer

Гость

Задача, организовать доступ для клиента, чтобы он мог подключить свой BI tool к специальной базе.

Проблема заключается в том, что пользователь может видеть исходный код всех объектов, даже к которым у него нет доступа.
Можно ли как-то это запретить?

...

Рейтинг:

0 / 0

21.11.2017, 17:17

| Ответить | Цитировать | Написать

Пользователь у которого нет прав доступа к объекту все равно может видеть исходный код

#39557073

Skoffer

Гость

Чтобы было понятно, что происходит. Вот скрипт.

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.

create database test;

\c test

create user u1;

create function hide_my_secret() returns void as
$$ 
declare
begin
--secret code
return;
end;
$$ language plpgsql;

commit;

Код: sql

1.
2.
3.

psql -U u1 -d test

\df+ public.hide_my_secret

\df+ public.hide_my_secret возвращает исходный код, хотя прав у пользователя нет.

...

Рейтинг:

0 / 0

21.11.2017, 17:47

| Ответить | Цитировать | Написать

Пользователь у которого нет прав доступа к объекту все равно может видеть исходный код

#39557164

Melkij

Участник

Откуда: Санкт-Петербург

Сообщения: 1 447

Рейтинг: 0 / 0

SkofferЧтобы было понятно, что происходит. Вот скрипт.
Skofferхотя прав у пользователя нет.
А где видно, что нет прав?
Ни одного revoke не вижу. Да, по-умолчанию база доступна всем пользователям, если не противоречит pg_hba

...

Рейтинг:

0 / 0

21.11.2017, 21:04

| Ответить | Цитировать | Написать

Пользователь у которого нет прав доступа к объекту все равно может видеть исходный код

#39558156

Skoffer

Гость

Melkij,

Да, Вы правы, дефолтные права не убраны.
Вот, что я вызвал:

Код: sql

1.
2.
3.

revoke all on schema public from u1;
revoke usage on schema public from u1;
revoke all on all functions in schema public from u1;

localhost u1@test # select version();
version
---------------------------------------------------------------------------------------------------------
PostgreSQL 9.5.9 on x86_64-pc-mingw64, compiled by gcc.exe (Rev5, Built by MSYS2 project) 4.9.2, 64-bit
(1 row)

...

Рейтинг:

0 / 0

23.11.2017, 12:15

| Ответить | Цитировать | Написать

Пользователь у которого нет прав доступа к объекту все равно может видеть исходный код

#39558157

Skoffer

Гость

Все равно исходный код доступен.

...

Рейтинг:

0 / 0

23.11.2017, 12:16

| Ответить | Цитировать | Написать

Пользователь у которого нет прав доступа к объекту все равно может видеть исходный код

#39558166

Павел Лузанов

Участник

Сообщения: 866

Рейтинг: 0 / 0

Skoffer,

Постгрес так устроен. Все пользователи могут видеть содержимое таблиц системного каталога.
Доступ к данным ограничить можно, а к системному каталогу нет.

Для скрытия кода придумывается только писать функции на C.

...

Рейтинг:

0 / 0

23.11.2017, 12:27

| Ответить | Цитировать | Написать

Пользователь у которого нет прав доступа к объекту все равно может видеть исходный код

#39558170

qwwq

Участник

Сообщения: 2 880

Рейтинг: 0 / 0

Павел ЛузановSkoffer,

Постгрес так устроен. Все пользователи могут видеть содержимое таблиц системного каталога.
Доступ к данным ограничить можно, а к системному каталогу нет.

Для скрытия кода придумывается только писать функции на C.
ага.
в пж не хватает псевдо--роли "читатель системного каталога"=="СУБД". который читал бы системный каталог в сеансах юзера. за юзера. вместо юзера.

но кое что когда--то усекалось, если я правильно помню. хотя и с трудом.

http://www.sql.ru/forum/1160322/razgranichenie-dostupa-k-bd?mid=17741541&hl=revoke pg_catalog pg_proc#17741541

...

Рейтинг:

0 / 0

23.11.2017, 12:38

| Ответить | Цитировать | Написать

7 сообщений из 7, страница 1 из 1

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=53&msg=39557164&tid=1996084]:	0ms
get settings:	9ms
get forum list:	14ms
check forum access:	3ms
check topic access:	3ms
track hit:	73ms
get topic data:	9ms
get forum data:	2ms
get page messages:	40ms
get tp. blocked users:	1ms
others:	286ms

total:	440ms