sicurezza database

[info_tec]

vorrei sapere se strutturare un database in access è più sicuro che strutturalo in mysql psr linux...
Per favore ditemi in che livello di percentuale

grazie a tutti ciao...

[Cream]

bhe se la scelta è access o Mysql ... scegli mysql anche se lavori con ASP...

sia come prestazioni che come sicurezza

[info_tec]

ok, ma a livello di percentuale in sicurezza quanto c'è di differenza'
10 - 20 - 30 % ????

[cristiano_longo]

Quello che penso. Cosa intendi per sicurezza? Integrità dei dati o difendersi da attacchi di utenti "maliziosi"? Nel primo caso MySQL offre delle strutture per il controllo dell'integrità referenziale che Access non credo che abbia. In ogni caso nessuno dei due da alte garanzie.

Nel secondo caso, se stai sviluppando una applicazione web, l'unico modo che ha un utente per accedere al db e'(dovrebbe) la tua applicazione. Quindi la security va studiata a livello applicativo e non di DB.

[info_tec]

il nostro scopo è quello di proteggere tramite password l'accesso a un sito formato da diversi livelli, di conseguenza con permessi di differenti privilegi.

quale metodo e adeguato a tale applicabilità???

grazie.

[cristiano_longo]

Esistono fondamentalmente due tipi di organizzazione dei dati e conseguente limitazione di accesso.

Il primo io lo definisco "orizontale". In questo modello gli utenti stanno tutti sullo stesso livello ed hanno accesso allo stesso "tipo" di informazioni. Tuttavia ogni utente ha accesso solo ai dati che esso stesso a generato. Mi sono occupato del progetto UniWeb(www.dmi.unict.it/uniweb) che era organizzato bene o male in questo modo. Li gli utenti "accreditati" erano solo docenti. Ad ogni docente veniva assegnato un certo numero di materie ed una home, e il docente aveva pieni poteri su queste. L'implementazione risulta abbastanza semplice poichè basta aggiungere ai record dove sono memorizzati i dati un campo "owner" e restringere l'accesso in base all'utente che sta eseguendo l'operazione. Ammettiamo ad esempio di eseguire un update. Basta aggiungere in coda, fra le condizioni del where, la condizione "OWNER = utente_collegato"

Un secondo tipo di organizzazione e' quello ad "albero". In questo modello le informazioni e le funzionalità sono organizzate in una struttura ad albero, ed ogni utente ha o meno accesso ad ogni nodo dell'albero. Questo modello risulta più complicato da implementare, inquanto necessita di un controllo prima di eseguire ogni operazione.

Tematiche differenti sono la "sicurezza" del db e la protezione delle password durante il loro trasporto su internet. Nel primo caso possono verificarsi delle vulnerabilità dovute a imperfezioni software del data-base. Per metterti a riparo da questo problema ti conviene non esporre direttamente il db su internet, ma metterlo su una macchina apposita in comunicazione diretta col web-server sul quale gira l'applicazione.

Per quanto riguarda la protezione delle password e' sufficente farle viaggiare crittografate mediante l'utilizzo di protocolli SSL e TSL ormai collaudati e riconosciuti sicuri.

Sono stato forse un po troppo dettagliato, ma spero di aver risposto in maniera esauriente alla tua domanda.

[info_tec]

Hai centrato in pieno il tema:
[list=1][*]

Per quanto riguarda la protezione delle password e' sufficente farle viaggiare crittografate mediante l'utilizzo di protocolli SSL e TSL ormai collaudati e riconosciuti sicuri.

Questo per me sarebbe possibile.

[*]

Nel primo caso possono verificarsi delle vulnerabilità dovute a imperfezioni software del data-base. Per metterti a riparo da questo problema ti conviene non esporre direttamente il db su internet, ma metterlo su una macchina apposita in comunicazione diretta col web-server sul quale gira l'applicazione

Questa soluzione purtroppo non è realizzabile per me
Ci sono delle laternative?[/list=1]

[cristiano_longo]

Originariamente inviato da info_tec

Questa soluzione purtroppo non è realizzabile per me
Ci sono delle laternative?

Posso sapere il motivo? Se mi spieghi la tua situazione a livello di "macchine" e rete posso consigliarti quella che secondo me e' la soluzione migliore.

Comunque. Il problema e' che, essendo la tua macchina esposta su internet, e' inevitabilmente soggetta ad attacchi. E nel caso in cui un attaccante riesca ad ottenere i privilegi di amministratore risulta impossibile proteggersi. La cosa migliore da fare e' installare un firewall che blocchi tutte le porte "alte" ad eccezzione della 80(quella del web-server) e blocchi la porta sulla quale risponde il db. Ti consiglio di farti mettere in sicurezza la macchina da un professionista specializzato.

[info_tec]

Il problema e' che, essendo la tua macchina esposta su internet, e' inevitabilmente soggetta ad attacchi

E' esattamente questo il problema: il web server che ospiterà il sito si trova all'interno dell'azienda ma non sarà (per ovvi motivi di sicurezza, appunto) collegato alla rete aziendale.

Piuttosto il problema è come proteggere i dati sensibili pubblicati in modo che solo gli utenti autorizzati vi possano accedere.

Ci sono (che sò) dei software specalizzati?
Oppure si tratta di tecniche di programmazione basati su dei linguaggi particolrmente idonei allo scopo?

Ti ringrazio per la tua pazienza e ti saluto

[cristiano_longo]

Ci sono (che sò) dei software specalizzati?
Oppure si tratta di tecniche di programmazione basati su dei linguaggi particolrmente idonei allo scopo?

Ti ringrazio per la tua pazienza e ti saluto

E qui si fermano le mie conoscenze. Quello che ti so dire :

1) Usa un firewall sulla macchina che blocchi tutte le porte ad eccezione della 80.(In reltà non e' cosi' semplice)

2) Non fare uscire direttamente il db su internet.
Nel senso il db ha una porta sulla quale risponde. Dovresti fare in modo che quella porta sia "locale"(unix socket) o bloccarla dal firewall.

3)Riguardo all'applicazione ed al linguaggio qualcuno sostiene che java sia più sicuro di altri, ma io non so su
quali basi fondino tale affermazione.

Ti posso consigliare infine un link su come scrivere applicazioni sicure(io non ho ancora letto nulla)

http://www.dwheeler.com/ secure-programs/Secure-Programs-HOWTO/index.html

che, a quanto ho capito, e' il doc. di riferimento.