Re: permisos sobre triguer

El 25/03/10 15:39, Silvio Quadri escribió:
> El día 25 de marzo de 2010 16:26, Rensi Arteaga Copari
> <rarteaga(at)ende(dot)bo> escribió:
>
>> El 25/03/10 15:20, Silvio Quadri escribió:
>>
>>> El día 25 de marzo de 2010 10:51, Rensi Arteaga Copari
>>> <rarteaga(at)ende(dot)bo> escribió:
>>>
>>>
>>>> Hola amigos
>>>> Tengo un triguer (trg_usuarios) que genera contraseñas y no quiero que
>>>> los
>>>> usuarios desarrolladores tengan acceso para ver el código fuente,
>>>> por que tengo una palabra secreta que uso para generar contraseñas
>>>> encriptadas como semilla de esta manera md5 ('semilla' |'contraseña)
>>>> Pero a pesar de que no tienen permiso sobre los esquemas ni nada mas
>>>> pueden
>>>> ver el código fuente del triguer desde EMS y PgAdmin, naulando el
>>>> secreto....
>>>>
>>>> ya intente con esto:
>>>>
>>>> REVOKE SELECT ON TABLE pg_trigger FROM public;
>>>>
>>>>
>>>> pero con esto se restringe el acceso a todos los triguers y yo solo
>>>> quiero
>>>> quitarles el acceso a mi triguer de contraseñas (trg_usuarios)
>>>> tiene alguna otra idea para hacer esto?????
>>>>
>>>>
>>>>
>>>>
>>> Tenés un problema grave, ya que, por lo que contás, estás dándole
>>> permisos de accesso a datos de producción a los desarrolladores. Hacé
>>> un entorno de desarrollo y otro de producción donde sólo el DBA tenga
>>> acceso. Con eso será suficiente y, además, cumplimentarás un punto de
>>> auditoría.
>>>
>>>
>>>
>>>
>>>
>> Gracias Silvio tienes razon, ya tengo separado la base de datos en tres
>> ambientes uno para desarrollo, otro de prueba y otros de operación
>> pero el DBA no abastece por si solo para realizar el mantenimiento de la
>> base de datos
>> y es necesario la ayuda de un par de personas (de las que ayudaron a
>> desarrollar el sistema), un grupo al que llame "desarrolladores", para
>> evitar confusiones mejor les llamo dba_auxiliares)
>>
>>
>>
> En ese contexto, no pierdas tiempo implementando medidas de seguridad
> adicionales, tarde o temprano te van a descubrir ... Hubiera sido más
> simple que les ocultaras la tabla de usuarios y listo.
> Silvio
>
>

Es mas fácil así, también lo pensé, pero como la seguridad no fue
pensada desde el diseño de la aplicación
las tabla de usuarios es referenciada por todos los procesos almacenados
y dejan de funcionar si les quito permiso de consulta sobre esta
tabla.................... (lo mejor hubiera sido utilizar una vista
con lo id_usuario y su nombre)

Sin mecanismos adicionales necesitaría quitar permisos por columnas
(com Label Security de ORACLE)

--
EMPRESA NACIONAL DE ELECTRICIDAD
www.ende.bo
Tel.: (591-4) 4520253 - 4520228
Fax: (591-4) 4520318
---------------------------------------------------------------------------------
Este mensaje ha sido analizado automaticamente por el MailScanner de ENDE
y no han sido detectados virus ni otros contenidos peligrosos.