El día 25 de marzo de 2010 16:26, Rensi Arteaga Copari
<[email protected]> escribió:
> El 25/03/10 15:20, Silvio Quadri escribió:
>>
>> El día 25 de marzo de 2010 10:51, Rensi Arteaga Copari
>> <[email protected]> escribió:
>>
>>>
>>> Hola amigos
>>> Tengo un triguer (trg_usuarios) que genera contraseñas y no quiero que
>>> los
>>> usuarios desarrolladores tengan acceso para ver el código fuente,
>>> por que tengo una palabra secreta que uso para generar contraseñas
>>> encriptadas como semilla de esta manera md5 ('semilla' |'contraseña)
>>> Pero a pesar de que no tienen permiso sobre los esquemas ni nada mas
>>> pueden
>>> ver el código fuente del triguer desde EMS y PgAdmin, naulando el
>>> secreto....
>>>
>>> ya intente con esto:
>>>
>>> REVOKE SELECT ON TABLE pg_trigger FROM public;
>>>
>>>
>>> pero con esto se restringe el acceso a todos los triguers y yo solo
>>> quiero
>>> quitarles el acceso a mi triguer de contraseñas (trg_usuarios)
>>> tiene alguna otra idea para hacer esto?????
>>>
>>>
>>>
>>
>> Tenés un problema grave, ya que, por lo que contás, estás dándole
>> permisos de accesso a datos de producción a los desarrolladores. Hacé
>> un entorno de desarrollo y otro de producción donde sólo el DBA tenga
>> acceso. Con eso será suficiente y, además, cumplimentarás un punto de
>> auditoría.
>>
>>
>>
>>
>
> Gracias Silvio tienes razon, ya tengo separado la base de datos en tres
> ambientes uno para desarrollo, otro de prueba y otros de operación
> pero el DBA no abastece por si solo para realizar el mantenimiento de la
> base de datos
> y es necesario la ayuda de un par de personas (de las que ayudaron a
> desarrollar el sistema), un grupo al que llame "desarrolladores", para
> evitar confusiones mejor les llamo dba_auxiliares)
>
>
En ese contexto, no pierdas tiempo implementando medidas de seguridad
adicionales, tarde o temprano te van a descubrir ... Hubiera sido más
simple que les ocultaras la tabla de usuarios y listo.
Silvio
--
TIP 2: puedes desuscribirte de todas las listas simultáneamente
(envía "unregister TuDirecciónDeCorreo" a [email protected])
