MS ACCESS

alexander koryagin написал(а) к All в Sep 19 09:50:36 по местному времени:

Нi, all!

Базу ACCESS можно запаролировать на полный доступ. Но почему мелкие не
придумали пароль "только для чтения"? Казалось бы логично разработчик
базы владеет паролем для модификации, а остальному кругу он сообщает
пароль для чтения. Бином Ньютона наверно. ;-)

Bye, all!
Alexander Koryagin



--- FIDOGATE 5.1.7ds

Eugene Grosbein написал(а) к alexander koryagin в Sep 19 15:06:57 по местному времени:

20 сент. 2019, пятница, в 09:50 NOVT, alexander koryagin написал(а):

ak> Базу ACCESS можно запаролировать на полный доступ. Но почему мелкие не
ak> придумали пароль "только для чтения"? Казалось бы логично разработчик
ak> базы владеет паролем для модификации, а остальному кругу он сообщает
ak> пароль для чтения. Бином Ньютона наверно. ;-)

Никогда не работал серьезно с MS Access, но английская Википедия пишет,
что и движок Microsoft Jet Database Engine поддержкивает регулирование
доступа по-юзерно https://en.wikipedia.org/wiki/Micros...ngine#Security
и сама Access тоже поддерживает защиту от изменений:

https://en.wikipedia.org/wiki/Micros...ess#Protection

Eugene
--
Чтобы всё как у всех, но чтоб при этом - не так, как они.
--- slrn/1.0.3 (FreeBSD)

alexander koryagin написал(а) к Eugene Grosbein в Sep 19 15:18:05 по местному времени:

Нi, Eugene Grosbein!
I read your message from 20.09.2019 12:16

ak>> Базу ACCESS можно запаролировать на полный доступ. Но
ak>> почему мелкие не придумали пароль "только для чтения"?
ak>> Казалось бы логично разработчик базы владеет паролем для
ak>> модификации, а остальному кругу он сообщает пароль для
ak>> чтения. Бином Ньютона наверно. ;-)
EG>
EG> Никогда не работал серьезно с MS Access, но английская
EG> Википедия пишет, что и движок Microsoft Jet Database Engine
EG> поддержкивает регулирование доступа по-юзерно
EG> https://en.wikipedia.org/wiki/Micros.../b>Engine#Secu
EG> rity и сама Access тоже поддерживает защиту от изменений:
EG> https://en.wikipedia.org/wiki/Micros...ess#Protection

"Да, это все верно, все правильно..." (с) Саахаов
Но написано ли там, что если переписать systemную mанdwшку из офиса на
компе где нет шифровки, то все ограничения наложенные на доступ идут в
едреной фене? ;-) Смех - защита информации привязывается к конкретному
файлу, а по умолчанию установщик офиса ставит его с правами
администратора, т.е. без защиты вообще.
А вот в случае пароля, то как крякнуть установленный пароль на доступ в
базу это действительно вопрос. К сожалению в аксессе нет пароля только
на чтения, а ведь в 95% случаев это решило бы все проблемы с защитой
данных всяких там мелких баз.

PS: Хотя если на предприятии изничтожить компы с правами администратора,
то может юзеровксий подход сойдет. ;-) Нужно блокировать возможность
доступа к файлам *.mdw

Bye, Eugene!
Alexander Koryagin
fido7.xsu.useless.faq 2019

--- FIDOGATE 5.1.7ds

Eugene Grosbein написал(а) к alexander koryagin в Sep 19 02:01:32 по местному времени:

20 сент. 2019, пятница, в 15:18 NOVT, alexander koryagin написал(а):

ak>>> Базу ACCESS можно запаролировать на полный доступ. Но
ak>>> почему мелкие не придумали пароль "только для чтения"?
ak>>> Казалось бы логично разработчик базы владеет паролем для
ak>>> модификации, а остальному кругу он сообщает пароль для
ak>>> чтения. Бином Ньютона наверно. ;-)
EG>> Никогда не работал серьезно с MS Access, но английская
EG>> Википедия пишет, что и движок Microsoft Jet Database Engine
EG>> поддержкивает регулирование доступа по-юзерно
EG>> https://en.wikipedia.org/wiki/Micros.../b>Engine#Secu
EG>> rity и сама Access тоже поддерживает защиту от изменений:
EG>> https://en.wikipedia.org/wiki/Micros...ess#Protection
ak> "Да, это все верно, все правильно..." (с) Саахаов
ak> Но написано ли там, что если переписать systemную mанdwшку из офиса на

Не понял, что конкретно сделать.

ak> компе где нет шифровки, то все ограничения наложенные на доступ идут в
ak> едреной фене? ;-) Смех - защита информации привязывается к конкретному
ak> файлу, а по умолчанию установщик офиса ставит его с правами
ak> администратора, т.е. без защиты вообще.

А причем тут права по умолчанию, я не понял. Если тебе надо отобрать
права - так и отбирай.

Eugene
--
Прекрасны тонко отшлифованная драгоценность; победитель, раненный в бою;
слон во время течки; река, высыхающая зимой; луна на исходе; юная женщина,
изнуренная наслаждением, и даятель, отдавший все нищим. (Дхарма)
--- slrn/1.0.3 (FreeBSD)

alexander koryagin написал(а) к Eugene Grosbein в Sep 19 20:05:33 по местному времени:

Нi, Eugene Grosbein!
I read your message from 20.09.2019 22:16

EG>>> поддержкивает регулирование доступа по-юзерно
EG>>>https://en.wikipedia.org/wiki/Micros...tabase</b>Engi
EG>>> ne#Secu rity и сама Access тоже поддерживает защиту от
EG>>> изменений:https://en.wikipedia.org/wiki/Microsoft_Access
EG>>> #Protection
ak>> "Да, это все верно, все правильно..." (с) Саахаов
ak>> Но написано ли там, что если переписать systemную mанdwшку
ak>> из офиса на
EG> Не понял, что конкретно сделать.

Когда аксес ставится, то создается System.mdw где пользователь аксеса
определен админом с неограниченными правами над базами. Если кто замутил
добавление аксессвких пользователей с разным доступом, то все это
прописывается в упомянутный файл. Достаточно взять System.mdw с другого
компа и база доступна. Более того если я принесу базу на свой домашний
комп, где нет никаких аксессовских пользователей, то опять таки я
получаю к ней полный доступ. Короче фигня.

PS: На всякий случай скажу, то пользователи аксеса и пользователи винды
это разные вещи.

Bye, Eugene!
Alexander Koryagin
fido7.xsu.useless.faq 2019
--- FIDOGATE 5.1.7ds

Eugene Grosbein написал(а) к alexander koryagin в Sep 19 03:49:11 по местному времени:

21 сент. 2019, суббота, в 20:05 NOVT, alexander koryagin написал(а):

EG>>>> поддержкивает регулирование доступа по-юзерно
EG>>>>https://en.wikipedia.org/wiki/Micros...tabase</b>Engi
EG>>>> ne#Secu rity и сама Access тоже поддерживает защиту от
EG>>>> изменений:https://en.wikipedia.org/wiki/Microsoft_Access
EG>>>> #Protection
ak>>> "Да, это все верно, все правильно..." (с) Саахаов
ak>>> Но написано ли там, что если переписать systemную mанdwшку
ak>>> из офиса на
EG>> Не понял, что конкретно сделать.
ak> Когда аксес ставится, то создается System.mdw где пользователь аксеса
ak> определен админом с неограниченными правами над базами. Если кто замутил
ak> добавление аксессвких пользователей с разным доступом, то все это
ak> прописывается в упомянутный файл. Достаточно взять System.mdw с другого
ak> компа и база доступна. Более того если я принесу базу на свой домашний
ak> комп, где нет никаких аксессовских пользователей, то опять таки я
ak> получаю к ней полный доступ. Короче фигня.

А ты хотел магии? Если у тебя есть доступ к "сырым" незашифрованным
данным базы, то никакая база в мире не даст тебе защиты,
будь то MySQL, PostgreSQL, MS SQL или Oracle. Всегда можно залезть
в данные с привилегиями и подредактировать их, если операционная
система даст туда доступ.

> Достаточно взять System.mdw с другого компа и база доступна.

А схрена ли у кого-то, кому не положено, есть право на перезапись
System.mdw? А если положено, то и перезаписывать не надо,
выдал права штатными методами и всё.

> Более того если я принесу базу на свой домашний комп,

А схрена ли у кого-то, кому не положено, есть право на прямое
копирование базы куда-либо?

Безопасность работает только если правильно выдавать права.

А против "физического" доступа к данным работает только шифрование их.

Eugene
--
Научить не кланяться авторитетам, а исследовать их и сравнивать их поучения
с жизнью. Научить настороженно относиться к опыту бывалых людей, потому что
жизнь меняется необычайно быстро.
--- slrn/1.0.3 (FreeBSD)

alexander koryagin написал(а) к Eugene Grosbein в Sep 19 12:47:51 по местному времени:

Нi, Eugene Grosbein!
I read your message from 22.09.2019 00:16

EG>>>>> поддержкивает регулирование доступа по-юзерно
EG>>>>> https://en.wikipedia.org/wiki/Micros...tabase</b>Engi
EG>>>>> ne#Secu rity и сама Access тоже поддерживает защиту от
EG>>>>> изменений:https://en.wikipedia.org/wiki/Microsoft_Access
EG>>>>> #Protection
ak>>>> "Да, это все верно, все правильно..." (с) Саахаов Но написано ли
ak>>>> там, что если переписать systemную mанdwшку из офиса на
EG>>> Не понял, что конкретно сделать.
ak>> Когда аксес ставится, то создается System.mdw где пользователь
ak>> аксеса определен админом с неограниченными правами над базами.
ak>> Если кто замутил добавление аксессвких пользователей с разным
ak>> доступом, то все это прописывается в упомянутный файл. Достаточно
ak>> взять System.mdw с другого компа и база доступна. Более того если
ak>> я принесу базу на свой домашний комп, где нет никаких аксессовских
ak>> пользователей, то опять таки я получаю к ней полный доступ. Короче
ak>> фигня.

EG> А ты хотел магии? Если у тебя есть доступ к "сырым" незашифрованным
EG> данным базы, то никакая база в мире не даст тебе защиты, будь то
EG> MySQL, PostgreSQL, MS SQL или Oracle. Всегда можно залезть в данные
EG> с привилегиями и подредактировать их, если операционная система
EG> даст туда доступ.

Магии не магии, а пароль на базу дает гарантию, что туда никто не
сунется кроме тех кто знает пароль, причем независимо где эта база
сейчас и куда бы она не копировалась (база аксеса это один файл). А вот
юзеровские аксессовские пароли на доступ действуют только в пределах
компа или тех компов которые привязаны к конкретному mdw. Опять таки
непонятно как защитить базу от копирования теми кто имеет доступ на комп
"только для чтения".

ak>> Достаточно взять System.mdw с другого компа и база доступна.

EG> А схрена ли у кого-то, кому не положено, есть право на перезапись
EG> System.mdw? А если положено, то и перезаписывать не надо, выдал
EG> права штатными методами и всё.

Главная проблема это копирование самой базы на незащищенный комп, при
чем все люди должны иметь доступ на чтение базы. Вот и представь сколько
проблем решилось бы если у базы найтивно были были бы два пароля -
только на чтение и на изменение.

ak>> Более того если я принесу базу на свой домашний комп,

EG> А схрена ли у кого-то, кому не положено, есть право на прямое
EG> копирование базы куда-либо?

Так задача то - на чтение база должна быть доступной всем, но в тоже
время заполнитель базы только один человек, уполномоченный. Реальная
задача - сделать базу оборудования, где оно находится и сколько его
осталось. ;) Все (компы организации) должны иметь возможность работать с
базой на чтение, но только один человек может иметь право что-то там менять.

EG> Безопасность работает только если правильно выдавать права.
EG> А против "физического" доступа к данным работает только шифрование
EG> их.

IMНO клиентская защита (аля Аксес 2003) не решает элементарных задач.

Bye, Eugene!
Alexander Koryagin
fido7.xsu.useless.faq 2019
--- FIDOGATE 5.1.7ds

Eugene Grosbein написал(а) к alexander koryagin в Sep 19 18:45:32 по местному времени:

22 сент. 2019, воскресенье, в 12:47 NOVT, alexander koryagin написал(а):

ak>>> Когда аксес ставится, то создается System.mdw где пользователь
ak>>> аксеса определен админом с неограниченными правами над базами.
ak>>> Если кто замутил добавление аксессвких пользователей с разным
ak>>> доступом, то все это прописывается в упомянутный файл. Достаточно
ak>>> взять System.mdw с другого компа и база доступна. Более того если
ak>>> я принесу базу на свой домашний комп, где нет никаких аксессовских
ak>>> пользователей, то опять таки я получаю к ней полный доступ. Короче
ak>>> фигня.
EG>> А ты хотел магии? Если у тебя есть доступ к "сырым" незашифрованным
EG>> данным базы, то никакая база в мире не даст тебе защиты, будь то
EG>> MySQL, PostgreSQL, MS SQL или Oracle. Всегда можно залезть в данные
EG>> с привилегиями и подредактировать их, если операционная система
EG>> даст туда доступ.
ak> Магии не магии, а пароль на базу дает гарантию, что туда никто не
ak> сунется кроме тех кто знает пароль, причем независимо где эта база
ak> сейчас и куда бы она не копировалась (база аксеса это один файл).

Нет, не даёт, если есть доступ к файлам базы. Такое ощущение,
что ты не читал письмо, на которое ответил и которое процитировал.

ak> А вот юзеровские аксессовские пароли на доступ действуют только в пределах
ak> компа или тех компов которые привязаны к конкретному mdw. Опять таки
ak> непонятно как защитить базу от копирования теми кто имеет доступ на комп
ak> "только для чтения".

Прежде чем строить защиту, нужно для себя обозначить модель угроз:
от чего конкретно мы защищаемся.

ak>>> Достаточно взять System.mdw с другого компа и база доступна.
EG>> А схрена ли у кого-то, кому не положено, есть право на перезапись
EG>> System.mdw? А если положено, то и перезаписывать не надо, выдал
EG>> права штатными методами и всё.
ak> Главная проблема это копирование самой базы на незащищенный комп, при
ak> чем все люди должны иметь доступ на чтение базы. Вот и представь сколько
ak> проблем решилось бы если у базы найтивно были были бы два пароля -
ak> только на чтение и на изменение.

Чтобы скопировать базу, нужно иметь право открывать файлы базы.
Отбери это право у всех, кроме админа. Создай специального пользователя,
который имеет право читать файл, но не писать в него и не удалять его.

Настрой приложение, которое запускают юзера, работающие с базой,
запускаться с привилегиями этого специального пользователя
при помощи чего-то типа http://admilink.narod.ru/admilink.htm
И это приложение не должно вообще иметь функций изменения данных в базе.

А админ базу пополняет другим неограниченным в правах приложением.

ak>>> Более того если я принесу базу на свой домашний комп,
EG>> А схрена ли у кого-то, кому не положено, есть право на прямое
EG>> копирование базы куда-либо?
ak> Так задача то - на чтение база должна быть доступной всем, но в тоже
ak> время заполнитель базы только один человек, уполномоченный. Реальная
ak> задача - сделать базу оборудования, где оно находится и сколько его
ak> осталось. ;) Все (компы организации) должны иметь возможность работать с
ak> базой на чтение, но только один человек может иметь право что-то там менять.

А зачем нужно запрещать копировать базу на другие компы?
Если право за запись в файлы базы у юзеров отобрано,
то даже скопировав базу куда-то и поправив её там,
обратно изменения они не смогут вернуть.

Во второй раз говорю: если тебе нужна безопасность, ты ДОЛЖЕН
использовать существующую систему привилегий. И всё получится.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.3 (FreeBSD)

alexander koryagin написал(а) к Eugene Grosbein в Sep 19 13:41:35 по местному времени:

Нi, Eugene Grosbein!
I read your message from 22.09.2019 15:16

EG> А зачем нужно запрещать копировать базу на другие компы?
EG> Если право за запись в файлы базы у юзеров отобрано,
EG> то даже скопировав базу куда-то и поправив её там,
EG> обратно изменения они не смогут вернуть.

Да, защитить оригинал базы от перезаписи действительно можно.

Bye, Eugene!
Alexander Koryagin
fido7.xsu.useless.faq 2019

--- FIDOGATE 5.1.7ds

Eugene Grosbein написал(а) к alexander koryagin в Sep 19 17:09:42 по местному времени:

23 сент. 2019, понедельник, в 13:41 NOVT, alexander koryagin написал(а):

EG>> А зачем нужно запрещать копировать базу на другие компы?
EG>> Если право за запись в файлы базы у юзеров отобрано,
EG>> то даже скопировав базу куда-то и поправив её там,
EG>> обратно изменения они не смогут вернуть.
ak> Да, защитить оригинал базы от перезаписи действительно можно.

А других претензий к MS Access ты вроде и не высказывал :-)

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.3 (FreeBSD)