Re: URGENTE

On 9/13/07, LIZETH ANGHELA SIRPA CACERES <angheliz(at)gmail(dot)com> wrote:
>
> >
> > Hola. ya soy parte de este grupo, quisiera comentarles la idea principal
> de mi tesis:
> >
> > Se que existen muchas medidas de seguridad en postgres contra ataques,
> pero mientras mas mediad de seguridad se tome, menor de sera la probabilidad
> de que algun ataque tenga exito.
> >
> > Los Procedimientos almacenados de se residen en las bases de datos que
> trabajan con Postgres, se encuentran desprotegidos si en algun momento algun
> intruso accederia a la cuenta de superusuario.
> >
> > Si se contruyera alguna herramienta para la proteccion al igual que el
> Gestor de Base de datos SQL Server posee, que encripta los procedmientos
> almacenados.
> >
> > Pero al mismo tiempo de implentar la encriptacion en la herramienta que
> empezare a desarrollar, implementare la ofuscacion de codigo. para comparar
> ambas tecnicas.
> >
> > Estaba pensando desarrollar esta herramienta con Java y utilizar las
> librerias de Bouncecastle.
>
>
> Si tienen alguna sugerencia o cometario, por favor haganmela
> llegar.(especialmete comentarios sobre ideas de ataques que se pueden
> realizar a los procedimientos almacenados)
>

aqui se mencionan algunos problemas de seguridad detectados en funciones
http://www.postgresql.org/support/security.html aunque estos ya se
han solucionado pero para que te hagas una idea de las pruebas que se
han hecho... en http://cve.mitre.org podrias encontrar otros que quiza
aun no se han solucionado

--
Atentamente,
Jaime Casanova

"Programming today is a race between software engineers striving to
build bigger and better idiot-proof programs and the universe trying
to produce bigger and better idiots.
So far, the universe is winning."
Richard Cook