FB: Planificar seguridad

[[Lepe]]

El título proviene del capítulo 12 del Data Definition Guide de la documentación de Interbase, donde explica con detalle como dar permisos y quitarlos, pero no me queda clara la filosofía.

Suponiendo que tenemos 25 usuarios y 100 o 200 tablas, vistas, etc,

¿Qué se debería hacer?
- crear roles
- ir dando permisos tabla por tabla

Por otra parte, no he visto que se pueda dar acceso a todas las tablas del sistema para un usuario, sino que hay que especificarlas, existe algo así:

Grant <permisos> ON <todas_las_tablas> TO EMILIO

La opción de que todos los usuarios entren como SYSDBA no me atrae mucho.

Otra cosa: en la interfaz del programa hay que quitar los elementos de menú y opciones que no debe acceder (para limpiar la interfaz) ¿no estamos duplicando el trabajo al aplicar la seguridad a la base de datos y a la interfaz?

Como veís, nunca he abordado este tema desde este punto de vista, así que estoy algo perdido.

Agradezco de buen grado cualquier sugerencia o comentario.

Un saludo

[[Crandel]]

Cita:

Empezado por Lepe

Suponiendo que tenemos 25 usuarios y 100 o 200 tablas, vistas, etc,

Con mi experiencia, lo mejor es asignarle permisos a roles y luego que cada usuario entre con su rol.

La idea es no generar tantos roles, sino estas en el mismo problema.

Cita:

Empezado por Lepe

Otra cosa: en la interfaz del programa hay que quitar los elementos de menú y opciones que no debe acceder (para limpiar la interfaz) ¿no estamos duplicando el trabajo al aplicar la seguridad a la base de datos y a la interfaz?

no, porque el usuario prodria conectarse con otro programa y modificar los datos, por lo que la seguridad si o si debe estar del lado del servidor.

La parte de la interfaz es todo un tema, algunos lo dejan como esta y que a los usuarios le salte un cartel de que no tienen el privilegio para hacerlo, otros lo desabilitan (pero es todo un trabajo).

[rastafarey]

LA parte de seguridad es un tema mbastante extenso.
Y a lo qu e te refieres y la form ad ehacerlo es cuestion d egusto mas, Aunque algunas veces depende de la naturaelza de ala aplicacion. Yo por ejemplo uso solo un usuario para coneptar em a al alplicacion en este caso SYSDBA. Y creo un atabla d eusuarios y grupos de usuarios para manejar los permisos. Ya que si damos permisos desde el propio servidor hay que tener mucho cuidado por que pueden haber consultas que para siert caso haya que accedier a un lugar donde no tengas acceso y elesto es un poco comp'lejo por qhay que tener rol para casos excepcionales entonces hayq ue estar camba¿iando el rol del usurio temporalmente mientras realisas a consulta y despues volver al que que te pertenece.

Pero como h edicho nates es cuestion de gusto mas que de exigencias.

Nota: Ten en cuenta la naturaleza de la aplicaion por que si usus un serviodor de aplicaciones ya cambia la forma de ver las cosas.

[[Lepe]]

Muchas gracias por vuestras aportaciones, ya veo 2 puntos de vistas diferentes con el tema de la contraseña, y comprendo que ambos teneís razón. Éste era el propósito del hilo, entender los pros y contras de cada opción.

Cita:

Empezado por Crandel

La parte de la interfaz es todo un tema, algunos lo dejan como esta y que a los usuarios le salte un cartel de que no tienen el privilegio para hacerlo, otros lo desabilitan (pero es todo un trabajo).

He sido usuario de este tipo de programas, y para mí es frustrante los cartelitos de privilegios . Yo soy de la opinión de ocultarlas, y SI, es bastante laborioso. Habrá que diseñar algunas rutinas para automatizarlo, y aún asi, preveo excepciones para un usuario determinado que necesita lo imposible .

De nuevo, muchas gracias por vuestro tiempo, seguiremos en contacto.

PD: lamento el retraso de mi apunte, pero aunque tarde, estoy de vacaciones.

Un saludo