Discussion :

[fredoche]

Trop sécurisé avec des SGBD passoires comme MySQL ou Oracle ?

Pièce jointe 591876

https://stack.watch/stats/2020/

SQLpro le SGBD n'est jamais qu'une des briques du système d'information. Le fichier peut bien être blindé verrouillé les failles sont légions, c'est avoir une vision étriqué que de raisonner comme tu le fais. Dans ta même liste oracle sort en 3e position, microsoft en 1er.

J'ai travaillé il y a peu sur un projet full Oracle, en l'occurence Peoplesoft, donc on touche du très sensible. Fin Octobre sort ceci :

A partir de là c'est la fête du slip. Les admins ont mis plus d'un mois à patcher, tellement imbus d'eux-même, ce que je ne te reproche pas. Ils pensent à peu près comme tu sembles le faire, en croyant qu'un nom te protège.
Et combien de systèmes ne sont pas encore patchés dans le monde ?

C'est pas le pire, ces mêmes admins avaient sur trois des 11 instances qu'on faisait tourner un login weblogic : system/Passw0rd
Il se trouve que je suis tombé sur ce login en ouvrant un fichier excel partagé sur un référentiel documentaire en commençant à rédiger mon bilan de fin de projet. Voilà où on en est. C'est toute une culture à revoir, et il ne faut pas penser que ces protections passives t'apportent une garantie avant que tous les autres points faibles, à commencer par l'être humain, n'aient été parfaitement maitrisés.

Je te dirais même pas combien de passwords sont inscrits en dur et accessibles à tous dans ce référentiel documentaire, c'est indécent.
Je ne suis absolument pas un spécialiste sécurité au demeurant

[nickylarson]

Si la données stockée n'a qu'un seul but c'est d'être revendue cela va à l'encontre d'RGPD.
Toute données stockées doit être justifiable d'un point de vue métier.

Ce serait bien de contrôler ce genre d'établissement juste par principe !

Pour être passé chez un labo qui utilisait justement le même système que celui piraté puisque siglé DEDALUS, lorsque je me suit présenté à l’accueil, la nana a pris mes infos sans jamais parlé de rgpd, ou faire signer quoi que ce soit .

En cherchant au bout du comptoir j’ai vu un paquet de flyer à signer pour utiliser les données personnelles et autorisation tout ça tout ça lol 🤓 mais vu la taille de la pile , ça ne semblait pas très utilisé 😅

Je ne parlerai pas delà façon pas très secure d’accéder aux résultats... 🤓 en 2021 c’est une honte technologique.

J’apporte mon soutient au développeur. Te laisse pas faire mec !

Pour le reste DEDALUS est il me semble qu’un ensemble de boîte empilée / racheté... j’ai croisé quelqu’un qui a bossé là-bas qui ne m’en a pas dit que du bien... je ne pourrai malheureusement pas développer davantage.
le milieu de la santé est très petit 😁

[danielsoft]

SQLpro le SGBD n'est jamais qu'une des briques du système d'information. Le fichier peut bien être blindé verrouillé les failles sont légions, c'est avoir une vision étriqué que de raisonner comme tu le fais. Dans ta même liste oracle sort en 3e position, microsoft en 1er.

....

Effectivement la comparaison est hors contexte.

Si on trouve plus de failles dans l'open-source, c'est justement parce qu'on a accès aux sources, et aussi parce que la communauté ne se repose sur la campagne marketing des sociétés.

Il suffit de voir les réactions lorsqu'il y a des failles de sécurité DNS/SSH/TLS...

Le problème n'est pas l'open-source mais le comportement de certaines sociétés qui ne voient que les dollars, se fichent de la fiabilité/sécurité des systèmes, utilisent l'open-source uniquement pour copier, et ne donnent pas les moyens aux salariés. C'est ce que reflète ce dossier Dedalus.

Il faut faire attention avec ce type de formule à l'emporte-pièce.