Temat: Bezpieczeństwo danych w Oracle 10g i Oracle 11g

Witam,

Czy ktoś wie jakie są problemy z bezpieczeństwem w Oracle 10g i 11g?
Jak powyższe wersje Oracle’a odstają pod względem bezpieczeństwa danych od innych komercyjnych/niekomercyjnych rozwiązań baz danych ?

Temat: Bezpieczeństwo danych w Oracle 10g i Oracle 11g

To pytanie jest tendencyjne ;)

Baza danych Oracle jest to narzędzie. Jeśli go dobrze użyjesz (kumaci developerzy i sprawni admini) to jesteś w miarę bezpieczny.

Posiada ileśtam certyfikatów i jest używana przez US gov, więc napewno nie jest to bardzo dziurawe.

Posiada także ciekawe rozwiązania (np VPD, szyfrowanie) - tylko prosi się o dobre tego użycie.

W dzisiejszych czasach, gdy architektura 2 warstwowa odchodzi do lamusa, bezpieczeństwo bazy można zapewnić także na poziomie sieci, a ataki idą na aplikacje www.

Temat: Bezpieczeństwo danych w Oracle 10g i Oracle 11g

Ktrzysztof Włąsiuk:
Baza danych Oracle jest to narzędzie. Jeśli go dobrze użyjesz (kumaci developerzy i sprawni admini) to jesteś w miarę bezpieczny.

Kumaci admini, zwłaszcza, że domyślne ustawienia bezpieczeństwa są delikatnie mówiąc średnie - brak polityki haseł, zbyt szerokie uprawnienia dla PUBLIC i takie tam.

Posiada ileśtam certyfikatów i jest używana przez US gov, więc napewno nie jest to bardzo dziurawe.

Nie ma tak dobrze, trochę tych dziur było (i jest)...

Ciekawy materiał:
http://www.youtube.com/watch?v=Hj7u8Ja-mPM

Więcej w google...

Temat: Bezpieczeństwo danych w Oracle 10g i Oracle 11g

Oracle ma być szybki, przy dużej ilości danych. O bezpieczeństwo dba inna warstwa... Jak ktoś chce, żeby było bezpiecznie, chowa bazę za serwerem aplikacji i tyle.

Temat: Bezpieczeństwo danych w Oracle 10g i Oracle 11g

Witam,

Do tej pory opierałem się głównie na technologii Microsoft (jako, że posiadam zespół programistyczny z dużym doświadczeniem i znajomością środowisk i produktów Microsoft). Z uwagi na coraz większe wymagania Klientów w zakresie wykorzystania baz danych Oracle i implementacji rozwiązań Oracle.

Ważne są dla mnie kwestie bezpieczeństwa danych oraz potencjalnych luk/innych podatności na zagrożenia - jest to istotna kwestia, na którą zarówno Klienci jak i dostawcy rozwiązań nie zawsze zwracają dostateczną uwagę.

Podczas research'u znalazłem istotne problemy wykryte w bazach Oracle:
1.błędne zaimplementowanie do Oracle 11g Release 2 obsługi Javy - w pewnych okolicznościach użytkownik o niskich przywilejach może uzyskać dostęp do usług i zasobów, które powinny być dostępne wyłącznie dla administratora
2. podatność na ataki typu 'SQl Injection' - od dłuższego czasu jest mowa, że wciąż ten problem nie jest rozwiązany

czy inne...

Oczywiście, Oracle jest stosowany i będzie stosowany bo to globalna marka, gama produktów i rozwiązań komercyjnych i bardzo nie-tanich (niektórzy tylko takie kochają), ale z uwagi na zbyt bardzo nadmuchane portfolio produktów w Oracle - jak to czasami niektórzy złośliwi nazywają je "zlepkiem produktów" - ze wsparciem, jak również z aspektami bezpieczeństwa danych jest różnie.

Jakie widzicie inne potencjalne zagrożenia/podatności na zagrożenia wobec rozwiązań bazodanowych Oracle'a ?

Temat: Bezpieczeństwo danych w Oracle 10g i Oracle 11g

Łukasz Pluta:

Michał Z.:
Oracle ma być szybki, przy dużej ilości danych. O bezpieczeństwo dba inna warstwa... Jak ktoś chce, żeby było bezpiecznie, chowa bazę za serwerem aplikacji i tyle.

W takim razie po co w ogóle jakieś konta, hasła... W każdej warstwie systemu powinno być zapewnione maksymalne bezpieczeństwo (a jeśli nie to mówimy o tym bez ściem jaka to nasza baza jest "super secure" :))

Konta, hasła to jest coś, co łatwo zaimplementować. Pozwala identyfikację użytkownika - co się bardzo przydaje, np. do śledzenia kto co zmienił. Do tego można udostępnić określonemu użytkownikowi określoną funkcjonalność. Co też się przydaje. Czyli nawet jak nas security nie interesuje identyfikacja użytkownika i tak się przydaje.

Oracle ma coś takiego jak tns listener, jak ktoś nie ma o czym mówić na konferencji o security... Zawsze tam coś znajdzie dla siebie. :) Czyli nawet jak mamy super politykę haseł - security może być do bani. Do tego dochodzi system operacyjny... który też ma swoje dziury. Czyli sprawa "super security" jest strasznie problematyczna.

Z bezpieczeństwem jest tak jak z wieloma innymi rzeczami. Coś za coś. Jak mam utrzymać "super security" na każdej warstwie to kosztuje - czas, wydajność.

Albo z jeszcze innej strony. Dowód nie wprost. Dasz dostęp do swojej bazy produkcyjnej z sieci publicznej? :) Zwykle jest tak, że baza jest na tyle skomplikowanym tworem, że nie ma 100% pewności. Skoro tak, to po co inwestować czas i pieniądze w zagwarantowanie super security na każdej warstwie? I tak nikt tego nie użyje. Wolę się skupić na zagwarantowaniu, że "super security" nie będzie potrzebne. Bez ściemy - samo secure na poziomie bazy mi wystarcza.

Temat: Bezpieczeństwo danych w Oracle 10g i Oracle 11g

Pytanie delikatnie mówiąć chybione.
Baza danych Oracle to produkt rozwijany przez lata. Oferuje wiele mechanizmów ułatwiających życie osób pracujących z nią. Również zwiększenie bezpieczeństwa.
To nie prawda, że ma być przede wszystkim szybka. Jest to jedynie jeden z goli. Jako główne zalety wymieniłbym raczej kilka zalet: skalowalność, zarządzalność, stabilność, funkcjonalność, wydajność oraz dobrą dokumentację. Przynajmniej to te, które ja dostrzegam.

Zastanów się raczej jak ma wyglądać polityka bezpieczeństwa w aplikacji. Jeśli jest to sprawa kluczowa - poświęć jej więcej czasu. Następnie zaprojektuj serwis, który będzie stał na straży bezpieczeństwa - ponieważ walidacji bezpieczeństwa nie wolno pozostawiać po stronie maszyny, do której ma dostęp użytkownik. Zatrudnij kogoś, kto się na tym zna i ma duuuuże doświadczenie (oczywiście pensję też nie małą). Upewnij się, że walidacja dostępu do danych jest realizowana na kilku poziomach. Naucz swoich programistów jak pisać kod oraz jak się komunikować z bazą.
Zacznij od założenia, że użytkownik widzi zawsze WSZYSTKIE dane, do których ma dostęp aplikacja. Jeśli to zbyt wiele - popraw aplikację i przeprojektuj warstwę dostępu do danych (która nigdy nie może znajdować się w pełni na maszynie użytkownika jeśli golem jest bezpieczeństwo).

Wymieniono wcześniej, że <tu wstaw cokolwiek> jest podatne na <tu wstaw metodę łamania zabezpieczeń>.
Jeśli stworzysz poprawnie produkt to użytkownik nie ma dostępu do tego, co jest dziurawe. Jeśli go stworzysz poprawnie to nie powinien mieć dostępu nawet do tego co może być dziurawe. A nawet jeśli taki dostęp uzyska to nie powinien być w stanie tego wykorzystać.

Pracowałeś z technologiami Microsoft'u. Poczytaj o "code red" i podobnych aplikacjach.
A przede wszystkim - mierz siły na zamiary.

PowodzeniaMaciej W. edytował(a) ten post dnia 09.02.11 o godzinie 23:03