Re: Seguridad en Postgres

Hi.
Soy programador de aplicaciones web, hace mucho que deje los programas
visuales y si los uso son para crear aplicaciones como utilitarios
personales. Las razones por las que no las utilizo para aplicaciones
corporativas o de uso en RED es por lo siguiente:

1. Tienes que intalarlos en cada PC y muchas veces con todos los dll otras
cosas necesarias (mayor trabajo de mantenimiendo y soporte especialmente si
tienes que hacer cambios constantes)
2. Hay que estar al tanto de que el ODBC u otro tipo de driver este
funcionando perfectamente.
3. Tienes que decirle al servidor de base de datos que permita el acceso a
cada IP de cada uno de tus clientes ( inseguridad, trabajo de
administrabilidad del db server).
4. Tines que mantener en muchos casos usuarios dentro de la base de datos y
estar al tanto de sus derechos y limitaciones y grupos.
5. Muchas veces tienen que darle a usuario tambien acceso a nivel de server
a especiales directorios y en muchos casos con niveles de administrator ( lo
he visto en muchas applicaciones VB y son un dolor de cabeza para el
administrador de redes).

Por estos puntos y por otros mas es que me decidi hace mucho por las
aplicaciones web, la tipica configuracion de 3 capas. Ahora programao en JSP
(java 100% OOP) y me trae muchas ventajas:

1. El usuario solo tienen que tener instalado un navegador de internet de su
preferencia y en el caso de Windows ya esta intalado por defecto uno de
ellos y si es la ultima version mejor en el caso de XM y XSL.
2. NO tienes que instalar drivers en los usuarios. JDBC funcioana perfecto y
no corre en el usuario.
3. No tienes que indicarle a tu server el ip de tus usuarios o clientes.
4. La configuracion de 3 capas permite configurar al DB server que sea
accesado solo por el web applications server y por un determinado usuario y
pude ser todo esto encriptado. Asi nadie puede ver a tu web server. en el
Caso que web applicatin server y DB server sea la misma cosas restringes el
acceso solo a localhost.
5. Un web application por seguridad tienen que correr bajo SSL al conectarse
con el cliente y eso es trabajo facil de implementar.
6. Veo mucho mas practico mantener mi propio control de usuario de mis
aplicaciones dentro de tablas.
7. Te preocupas de seguridad a nivel de tu server (1 o 3 Pcs) y no a nivel
de cada cliente.

etc.

Se que salir del paradigma de los programas visuales es muy dificil, lo digo
por que veo a mis amigos que entienden toda la teoria de las aplicaciones
web pero simplemente no puden comenzar a programar en ellas, no por que no
sean buenos profecinales sino por que tienen anios dentro de un Paradigma
que es dificil de romper.

Los otros veneficios de web applications son :

1. Java es gratis!!!! (por ahora y creo que continuara asi).
2. Para programar solo necesitas un editor de texto, algo mas especializado
podria ser un editor de html. hay varios gratis y muy buenos como el
Html-Kit. (cuantos pagas por cada liciencia de tu programa visual?)
3. NO hay que estar pensando en el tipico proceo de: modificar el codigo,
compilar, correr la aplicacion y probar. NO!!! solo tines que cargar en tu
navegador la aplicacion, entrar en la opcion con problemas y una vez que
cambies el JSP ( o PHP u otro) solo dar click derecho refrescar y tendras
todo arreglado. Eso facilita mucho el soporte con el usuario frente a
pequenios problemas que nunca faltan. Ellos llaman y mientras estas en el
telefono modificas el pequenio error y le dices que refresque la pantalla y
listo.
4. Creo que la mas grande ventaja es el limitado presupuesto que se maneja:
- Linux o FreeBSD (gratis, estable, etc)
- Java (gratis)
- PostgreSQL (gratis)
- Hardware (se tiene que pagar, pero no necesitas una moustrocidad de
server)
- Para los Clientes solo el sistema operativo que ya incluye el
navegador. (minimizas proceso de intalacion de las PC de clientes) y el
tiempo de soporte a problemas de configuracion es minima.

Ahora tengo desarrollado un Web Application en JSP y estoy usando XML y XSL,
y es algo fantastico pues el JSP se encarga solo de crear el modelo de data
en el XML y luego el XSL solo se encarga de crear la forma de presentacion y
quien compila o fuciona el XML con el XSL es el propio navegador. Creanme
funciona de maravillas y muchas operaciones tipicas de programacion se
minimizan enormemente.

Hora estoy ananlizando crear un cliente mas elavorado en FLASH con el action
escript para el usuario, pues el FLASH puede recibir XML desde JSP, ASP,
PHP, etc. pero para eso tengo que aprender a programar en Action Script y ES
ESO UNA LIMITACION? eso depende de cuantos paradigmas controlan mi profecion
de desarrollador.

En conclucion podria decir que SI podras estar seguro usando Aplicaciones
Visuales pero tendras que trabajar mucho y tiene un costo que muchas veces
no lo vemos pues es un costo distribuido no neto y de largo plazo. Creo que
los Web Application son seguros pero con menos trabajo de mantenimiento y
mucho mas economicos y productivos.

Esto lo pongo para su refleccion como profecionales.

Italo Osorio
Adventist International Institute of Advanced Studies.
Philippines.

----- Original Message -----
From: "Guillermo M. Viveros A." <gviveros(at)safp(dot)cl>
To: <pgsql-es-ayuda(at)postgresql(dot)org>
Sent: Tuesday, April 27, 2004 9:37 AM
Subject: [pgsql-es-ayuda] Seguridad en Postgres

> Hola a todos
>
> Tenemos varias aplicaciones internas corriendo en nuestros servidores
> Linux Red Hat 2.4.12
> y nuestra base de datos Postgres 7.2.1.
>
> Nuestro desafío ahora es la implementación de seguridad en nuestras
> bases de datos,
> a consecuencia de:
>
> 1.- Creemos que el control a través de .htacces deja mucho que desear.
> 2.- Queremos eliminar las claves insertas de nuestros programas
>
> Alguien conoce otros mecanismos de seguridad en PostGres, ya sea a
> nivel de Base de Datos o al Nivel de Tablas.
>
> Gracias
> Atte,
> Guillermo Viveros
> Superintendencia de AFP
> Chile
>
>
> ---------------------------(end of broadcast)---------------------------
> TIP 5: ¿Has leído nuestro extenso FAQ?
>
> http://www.postgresql.org/docs/faqs/FAQ.html
>