Jorge Alberto Aquino Andrade escribió: > El hecho de no tener un usuario de base cada usuario de la aplicacion fue > por que dicen que en una aplicación WEB ya no aplica ese concepto, que solo > aplica para las aplicaciones cliente - servidor.
Los que "dicen esto" están equivocados. Puede que ya no sirva distinguir usuarios individuales (ya no hay "juan" y "pedro", sino sólo "usuario web"), pero sí tiene sentido tener un "usuario web sólo lectura" y "usuario web que puede escribir en tablas X, Y, Z". Si no lo haces así, dependes de que tu aplicación web sea totalmente a prueba de balas para que ningún divertidijirillo cracker de la internecs pueda eliminar toda tu base de datos sólo para divertirse; o aún peor, cambiarla sutilmente para que le envíes un centavo por cada click sólo para financiar su mansión de las islas Caimán mientras tú te jodes. .. porque la historia enseña que las aplicaciones web no sólo no son a pruebas de balas, sino que más que kevlar parecer coladores, es decir, llenos de hoyos que dejan pasar desde el agua (inocua, siempre que no sea mucha) hasta kriptonita hirviendo (mortal incluso en ínfimas cantidades). Si toda tu seguridad depende de tu aplicación web, estás frito. Es importante compartimentalizar y dar a cada uno el menor privilegio posible, de manera que aún si penetran, no quedes totalmente vulnerable. -- Álvaro Herrera http://www.2ndQuadrant.com/ PostgreSQL Development, 24x7 Support, Training & Services - Enviado a la lista de correo pgsql-es-ayuda ([email protected]) Para cambiar tu suscripción: http://www.postgresql.org/mailpref/pgsql-es-ayuda
