Il 10/03/2016 08:46, Federico "fox" Scrinzi ha scritto:
Lo scenario non mi e' chiarissimo (tipo dove sta questo db, cosa contiene, ecc ecc). Comunque mi sembra che avere questa password dia piu privilegi rispetto all'uso del programma. Se questo e' il caso hai un problema di design. Se invece l'accesso al db e' equivalente all'uso della password non ha senso nasconderla, dato che l'interfaccia sarebbe solo un modo "piu' comodo" per interrogare il db.
Mi pare di capire che alla fine, o si usa un sistema 3-tier (client - application server - db) oppure soluzioni non ce ne sono.
Personalmente, non ho mai visto db server con le credenziali di tutti gli end user. Fondamentalmente mi si sono presentati davanti due scenari: - applicativo che usa le credenziali amministrative del db server, che (anche inconsciamente) conoscono tutti; - credenziali amministrative conosciute solo da un ristretto numero di persone, applicativo che si connette al db con privilegi non amministrativi indipendentemente da chi fa login sull'applicativo usando un'unico login/pwd, altri utenti con visibilità solo su alcune tabelle o in sola lettura da dare al personale/terzi perché possano estrarsi dati di loro interesse (integerazione con altri applicativi o statistiche di vario tipo).
Come dicevo in un altro post, poi tutto dipende dal livello di sicurezza che si deve raggiungere. Nelle piccole e medie realtà l'uso di un sistema a 3-tier è ampiamente sovradimensionato.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
