IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Décisions SGBD Discussion :

Sécurité contre l'admin OS


Sujet :

Décisions SGBD

  1. #1
    Membre expert
    Avatar de alassanediakite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Août 2006
    Messages
    1 599
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : Mali

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2006
    Messages : 1 599
    Points : 3 590
    Points
    3 590
    Billets dans le blog
    8
    Par défaut Sécurité contre l'admin OS
    Salut
    A la recherche de solution contre l'accès de l'administrateur OS à mes routines dans PostgreSQL, j'ai jeté un coup d’œil à Firebird croyant qu'il pouvait être une boîte noire pour l'admin OS. A ma grande déception je tombe sur COMMENT RETROUVER LE MOT DE PASSE.
    Mais alors, les SGBD client/serveur ont tous opter pour "faire confiance à l'admin OS"? Mais pourquoi? Quelles sont alors les différents astuces (par éditeur) pour déployer une base chez un client tout en protégeant les routines (fonction, procédure, trigger, et même vues)?
    Pour le moment je soupçonne MySQL comme faisant exception à cette règle
    Merci d'avance pour les contributions.
    @+
    Le monde est trop bien programmé pour être l’œuvre du hasard…
    Mon produit pour la gestion d'école: www.logicoles.com

  2. #2
    Modérateur

    Avatar de CinePhil
    Homme Profil pro
    Ingénieur d'études en informatique
    Inscrit en
    Août 2006
    Messages
    16 793
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur d'études en informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Août 2006
    Messages : 16 793
    Points : 34 024
    Points
    34 024
    Billets dans le blog
    14
    Par défaut
    Quelles sont alors les différents astuces (par éditeur) pour déployer une base chez un client tout en protégeant les routines (fonction, procédure, trigger, et même vues)?
    Si vous déployez une base de données chez un client, c'est probablement que vous déployez aussi une application pour accéder à cette BDD, non ?

    Pour accéder à la BDD, l'application doit s'y connecter avec un utilisateur défini dans le SGBD et cet utilisateur bénéficie de privilèges plus ou moins limités sur les objets de la BDD.

    Pour autant que votre application ne soit pas open source et dans un langage compilé, votre client peut tout à fait ignorer le nom et le mot de passe de cet utilisateur applicatif. Si vous lui ajoutez un programme compilé pour la sauvegarde et la restauration de ses données en cas de crash, il peut ignorer la structure de la BDD et donc le code SQL de tous ses objets.

    Ceci dit, n'oubliez pas que le client est propriétaire de ses données et devrait pouvoir les utiliser même en dehors de l'application. Il pourrait donc exiger que les sauvegardes soient dans un format lisible et réutilisable.
    Philippe Leménager. Ingénieur d'étude à l'École Nationale Supérieure de Formation de l'Enseignement Agricole. Autoentrepreneur.
    Mon ancien blog sur la conception des BDD, le langage SQL, le PHP... et mon nouveau blog sur les mêmes sujets.
    « Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément ». (Nicolas Boileau)
    À la maison comme au bureau, j'utilise la suite Linux Mageïa !

  3. #3
    Rédacteur

    Avatar de SQLpro
    Homme Profil pro
    Expert bases de données / SQL / MS SQL Server / Postgresql
    Inscrit en
    Mai 2002
    Messages
    21 739
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Expert bases de données / SQL / MS SQL Server / Postgresql
    Secteur : Conseil

    Informations forums :
    Inscription : Mai 2002
    Messages : 21 739
    Points : 52 451
    Points
    52 451
    Billets dans le blog
    5
    Par défaut
    Actuellement de ce point de vu là, il n'y a que Orale à proposer un mode de sécurité interdisant même aux DBA de visualiser les données des bases.
    MS SQL Server tente de suivre cette possibilité et devrait sortir la chose pour la prochaine version.

    Quand à la sécurité dans MySQLmerde ou PosteGreSQL, c'est plus que navrant. Jetez un coup d’œil à l'article que j'ai écrit à ce sujet, les méthodes de cryptographie de ces outils "libre" ne resistant pas à l'analyse fréquentielle !
    http://blog.developpez.com/sqlpro/p1...dans-les-sgbdr

    A +
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *

  4. #4
    Membre expert
    Avatar de alassanediakite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Août 2006
    Messages
    1 599
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : Mali

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2006
    Messages : 1 599
    Points : 3 590
    Points
    3 590
    Billets dans le blog
    8
    Par défaut
    Salut
    Citation Envoyé par CinePhil Voir le message
    Pour accéder à la BDD, l'application doit s'y connecter avec un utilisateur défini dans le SGBD et cet utilisateur bénéficie de privilèges plus ou moins limités sur les objets de la BDD.
    Dans le passé, j'utilisais ce type d'authentification. Mais il fallait à chaque fois REINVENTER la roue: la gestion des droits (l'application accède par un seul USER mais il faut gérer le fait que les utilisateurs n'ont pas les mêmes privlèges). Maintenant je laisse ce rôle au SGBD qui le gère très bien, avec quelques préalables bien sûr. Chaque utilisateur est directement créé comme UTILISATEUR sur le SGBD.
    Citation Envoyé par CinePhil Voir le message
    Ceci dit, n'oubliez pas que le client est propriétaire de ses données et devrait pouvoir les utiliser même en dehors de l'application. Il pourrait donc exiger que les sauvegardes soient dans un format lisible et réutilisable.

    Merci du rappel, je le met dans les TODO.

    Citation Envoyé par SQLpro Voir le message
    Actuellement de ce point de vu là, il n'y a que Orale à proposer un mode de sécurité interdisant même aux DBA de visualiser les données des bases.
    MS SQL Server tente de suivre cette possibilité et devrait sortir la chose pour la prochaine version.
    Attendons de voir la chose. Merci de l'info.
    @+
    Le monde est trop bien programmé pour être l’œuvre du hasard…
    Mon produit pour la gestion d'école: www.logicoles.com

Discussions similaires

  1. Sécurité contre les script de collecte d'informations
    Par m4riachi dans le forum Langage
    Réponses: 0
    Dernier message: 27/03/2014, 19h10
  2. [MySQL] Sécurité contre failles XSS et injections SQL et optimisation du formulaire
    Par kenjiendo dans le forum PHP & Base de données
    Réponses: 2
    Dernier message: 09/08/2011, 12h35
  3. sécurité contre les spams en interne du réseaux
    Par olgakapend dans le forum Sécurité
    Réponses: 1
    Dernier message: 03/03/2011, 16h06
  4. Sécurité contre injection de code dans upload
    Par langevert dans le forum Langage
    Réponses: 3
    Dernier message: 11/12/2009, 01h24
  5. Sécurité contre les injections SQL
    Par Generation-Web dans le forum Langage
    Réponses: 2
    Dernier message: 27/11/2008, 15h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo