Аннулирование прав при изменении ХП

Как защититься от хаков, спрятать БД и прочие премудрости и настройки

Модератор: kdv

Ответить
Naidenov
Сообщения: 59
Зарегистрирован: 18 янв 2005, 17:38

Аннулирование прав при изменении ХП

Сообщение Naidenov » 30 окт 2007, 15:36

System Info: FB CS 1.5.2
Вопррос:
1. Почему после (alter) procedure/trigger имеющиеся права сбрасываются?
2. Можно ли автоматически их восстанавливать?
3. При модификации таблиц/просмотров ситуация аналогичная?

Naidenov
Сообщения: 59
Зарегистрирован: 18 янв 2005, 17:38

Сообщение Naidenov » 31 окт 2007, 13:43

Мисье, же не ма шпа си жур! Не проходите мимо! Помогите страждущему!!!
На мудрость и милосердие вашу уповаю! :lol:

Attid
Спец
Сообщения: 377
Зарегистрирован: 14 ноя 2006, 09:58

Сообщение Attid » 31 окт 2007, 13:48

а почему 1.5.2 а не 1.5.4 ?
там ошибочки были . . .

dimitr
Разработчик Firebird
Сообщения: 888
Зарегистрирован: 26 окт 2004, 16:20

Re: Аннулирование прав при изменении ХП

Сообщение dimitr » 31 окт 2007, 15:42

Naidenov писал(а):Почему после (alter) procedure/trigger имеющиеся права сбрасываются?
на этот вопрос затруднительно ответить, т.к. права не сбрасываются

WildSery
Заслуженный разработчик
Сообщения: 1738
Зарегистрирован: 05 июн 2006, 16:19

Re: Аннулирование прав при изменении ХП

Сообщение WildSery » 31 окт 2007, 16:18

Naidenov писал(а):1. Почему после (alter) procedure/trigger имеющиеся права сбрасываются?
Возможно, drop / create?
Naidenov писал(а):3. При модификации таблиц/просмотров ситуация аналогичная?
ALTER VIEW пока не бывает. Только пересоздание.

Naidenov
Сообщения: 59
Зарегистрирован: 18 янв 2005, 17:38

Re: Аннулирование прав при изменении ХП

Сообщение Naidenov » 31 окт 2007, 16:38

dimitr писал(а):на этот вопрос затруднительно ответить, т.к. права не сбрасываются
Честно признаться, самолично не проверял... :roll: Поверил на слово kdv (вот здесь http://www.ibase.ru/devinfo/sqlroles.htm его примечание именно об этом и повествует. см главу "Назначение привилегий на выполнение хранимых процедур" 2-ое примечание по счету)
Последний раз редактировалось Naidenov 31 окт 2007, 16:47, всего редактировалось 1 раз.

Naidenov
Сообщения: 59
Зарегистрирован: 18 янв 2005, 17:38

Re: Аннулирование прав при изменении ХП

Сообщение Naidenov » 31 окт 2007, 16:42

WildSery писал(а):Возможно, drop / create?
Нет.
WildSery писал(а):ALTER VIEW пока не бывает. Только пересоздание.
:oops: Пардон. Упустил этот ньюанс

dimitr
Разработчик Firebird
Сообщения: 888
Зарегистрирован: 26 окт 2004, 16:20

Re: Аннулирование прав при изменении ХП

Сообщение dimitr » 01 ноя 2007, 12:12

Naidenov писал(а):Честно признаться, самолично не проверял... :roll: Поверил на слово kdv
неправ он там

kdv
Forum Admin
Сообщения: 6595
Зарегистрирован: 25 окт 2004, 18:07

Сообщение kdv » 01 ноя 2007, 12:22

смотря в чем я неправ.
по идее, при изменении процедуры (например процедуры A), должны оставаться права выданные на нее, но сбрасываться права выданные ей.

Почему логично убивать права, выданные процедурЕ, при ее alter:
1. в процедуре может быть удалено использование объектов, на которые ей выданы права.
2. в процедуре могут появиться объекты, на которые у нее нет прав
3. в процедуре может измениться доступ к объектам, которые использовались ранее.

Поскольку процедуры в среднем состоят не из 5-7 строк, а больше, то оставлять права при alter - это значит оставлять тонны лишних прав, особенно во время разработки, т.е. частой переделки процедур.

Логика моих рассуждений понятна?

Возможно, когда я переводил статью, с текущей версией ib/fb так и происходило, т.е. права сбрасывались.

Dimitry Sibiryakov
Заслуженный разработчик
Сообщения: 1436
Зарегистрирован: 15 сен 2005, 09:05

Сообщение Dimitry Sibiryakov » 01 ноя 2007, 15:25

С точностью до наоборот: права, выданные процедурам, триггерам и прочему барахлу только недавно начали удаляться при их дропе. В полуторке, ЕМНИП, а то и позже.

Naidenov
Сообщения: 59
Зарегистрирован: 18 янв 2005, 17:38

Сообщение Naidenov » 02 ноя 2007, 18:05

kdv писал(а):Логика моих рассуждений понятна?
Понятна. Спасибо. :wink:

Ответить