Результаты опроса: Хотите ли вы перейти на версию Oracle 9i
Уже работаю на ней 6 28.57%
Хочу и перейду, как будет время 11 52.38%
Хочу, но совсем не умею и боюсь, не буду 1 4.76%
Не хочу 3 14.29%
Голосовавшие: 21. Вы ещё не голосовали в этом опросе

04.08.2006 10:30
kadr
 
RKuzmin, Я уже обяснял, НЕВОЗМОЖНО (переубедите меня в терминах СМ2000 если я не прав) запретить доступ пользователям СМ в адм. модуль, если у этого пользователя стоит галочка "доступ разрешён" он сможет (запустить неправильно выразился) войти (будет правильнее) адм. модуль, а вот что он сможет там сделать это уже рулится правами.
Поставьте маленький эксперимент, создайте пользователя абсолютно без прав, только с галочкой "Доступ разрешён" и попробуйте войти в адм. модуль. И потом расскажите мне как запретить средствами СМ такое безобразие.
А по поводу парлоя SYS`а я так вам скажу, около 2-х месяцев назад в Oracle обнаружили большущую дыру, суть в том что ЛЮБОЙ пользователь имеющий права на селект, а в некоторых случаях достаточно прав на коннект, при написание запроса в анси синтаксисе мог изменять таблицы на которые ему не давали таких прав. Эта ошибка наблюдается во всех версиях начиная с 7. Эта ошибка до сих пор не исправлена.
Можете почитать:
Или здесь:
04.08.2006 10:48
deucel
 
Как писал
Цитата:
Andrew_Konev есть еще один хороший вариант: ставить, но запрещать запуск в политике.
и просто можно удалить ярлык, запустить без ярлыка думаю не сложно *06
04.08.2006 11:53
kadr
 
Мы немного отклонились, я утверждаю, что в адм. модуль может зайти любой, а olegon обратное:

Цитата:
olegon Исходим из того, что сотрудников, которые могут заходить в админ.модуль очень мало.
в то время:
Цитата:
Andrew_Konev ставить, но запрещать запуск в политике.
думаю что все прекрасно понимают разницу между словами заходить и запускать
04.08.2006 12:06
RKuzmin
 
На счет дыр в ORACLE я знаю уже давно. (Переполнение стека, там много всего). Где даже была статья - 36 способов завладеть секрет инфо, хранящейся в ORACLE. Но позвольте уточнить, чтобы это СДЕЛАТЬ НУЖНО ИМЕТЬ ЗНАНИЯ не ниже админского + програмерского. ОЧЕНь сомневаюсь што операторы в магазине вообще знают что такое СТЭК и Хран процедура. А уж если вася из 5 класса поставить задачу хакнуть защиту БД, то он ее хакнет. Уж поверьте мне. Но не берите такого васю на работу :))).
04.08.2006 12:09
RKuzmin
 
from Kadr>> "RKuzmin, Я уже обяснял, НЕВОЗМОЖНО (переубедите меня в терминах СМ2000 если я не прав) запретить доступ пользователям СМ в адм. модуль, если у этого пользователя стоит галочка "доступ разрешён" он сможет запустить адм. модуль, а вот что он сможет там сделать это уже рулится правами. "

Причем здесь это! Не подпускайте к компу где стоит админ модуль всех кого попало. Сделайте защиту пароля экранной заставки и т.п.
Ставить админ модуль конечно надо. Но ограничивать к нему доступ.
04.08.2006 12:14
kadr
 
RKuzmin, Знание сила. Да пребудет с тобой СИЛА *07
04.08.2006 12:17
kadr
 
Цитата:
RKuzmin from Kadr>> "RKuzmin, Я уже обяснял, НЕВОЗМОЖНО (переубедите меня в терминах СМ2000 если я не прав) запретить доступ пользователям СМ в адм. модуль, если у этого пользователя стоит галочка "доступ разрешён" он сможет запустить адм. модуль, а вот что он сможет там сделать это уже рулится правами. "

Причем здесь это! Не подпускайте к компу где стоит админ модуль всех кого попало. Сделайте защиту пароля экранной заставки и т.п.
Ставить админ модуль конечно надо. Но ограничивать к нему доступ.
Вот именно это и причём. Таки мы хотим ему запретить запускать или запретить заходить
04.08.2006 13:00
akonev
 
Цитата:
kadr думаю что все прекрасно понимают разницу между словами заходить и запускать
мне пока не попадались юзеры, способные зайти в админ.модуль не запуская его. *04
поэтому любой способ ограничить доступ я считаю адекватным.
тоже, наверное, всем очевидно: невозможно ограничить доступ к данным только на уровне приложения и БД.
если юзера все-таки надо допустить до функций админ.модуля - давайте разберемся до каких.
про смену пароля олег ветку уже сделал.
04.08.2006 13:34
OlegON
 
Если будете продолжать тему - предлагаю открыть отдельную ветку. Тут вообще-то голосование с комментариями было, совсем не в ту степь.
04.08.2006 13:39
kadr
 
Andrew_Konev, ИМХО мы тут ломали копья лишь по той причине, что не определись в терминах.
Ведь очень много разногласий возникает именно из-за этого.
Хотим ограничить доступ к приложению это одно, а запретить выполнять это другое и реализация совершенно другая.
Ведь если мы хотим запретить пользователю менять настройки БД, запретить доступ к рассчёту аналитики, запретить доступ к управлению пользователями, то из этого не следует, что мы должны запретить запускать приложение.
Часовой пояс GMT +3, время: 19:29.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.