問題タブ [database-security]

背景: [著作権の実装なし]

【著作権の実装なし】 私の会社は、政府による著作権保護を受けていない地域のクライアント向けに在庫管理アプリケーションを開発しています。唯一の選択肢は、自分で物を隠して保護することです。ここでは、競合他社が他社のデータベースをコピーしてフロント エンドを構築し、独自のアプリの販売を開始するのが一般的です。

問題

MS SQL Server Express Edition と、場合によっては Standard Edition を使用します。お客様は SQL エンジンを停止し、アプリケーションがインストールされている PC からファイルをコピーし、そのデータベース ファイルを Windows の完全な管理者権限を持つ別のシステムにアタッチできます。これにより、データベースを完全に探索できます。

を探しています

私たちのデータベース設計が他の人に見られるのを防ぐための信頼できる解決策はありますか? データベース内で作成したユーザーを介して接続できるのは、アプリケーションだけですか?

過去に、sybase 適応サーバーにはそのような機能があり、Windows ユーザーはアクセスできず、ユーザーは各データベース自体に格納されていると聞いていました。誰かがデータベース自体に保存されているユーザーのパスワードを持っていない場合、ログインする方法はありませんでした。

ありがとう

あなたの助けは非常に高く評価されます。

セキュリティ上の理由から、DB チームに EXTPROC_DLLS:ONLY; を追加するよう依頼しました。しかし、彼らはこう言いました。

「KEY = EXTPROC1526 は外部プロセスをまったく参照しないことに注意してください。これは、IPC プロトコルを介して Oraxxx を呼び出す必要があるプロセスで使用される単なるキーです。キーは任意の値にすることができ、同じキー値をtnsnames.ora 経由で渡された"

私には、それは間違っているようです。これについて私を助けてもらえますか？EXTPROC の正確な使い方と、EXTPROC_DLLS:ONLY を追加しないとどうなるのですか?

ASP.NET 4.5.2 / MVC 5.2.3 にあり、Entity Framework 6 を使用する、私が取り組んでいるアプリケーションのユーザー向けのツールを (再) 開発する必要があります。

このツールは、許可されたユーザーが SQL クエリを編集できるようにし、権限の低いユーザーもそれらを実行できるようにすることを想定しています。Web アプリケーションがイントラネットとしてのみアクセス可能であっても、そのようなツールのセキュリティが心配です。

特定のクエリは のみであり、複数のテーブルでSELECTを持つことができます。JOIN

SQL文字列を1つだけ実行するようにチェックしたり制限したりできるEF6固有の関数はありますSELECTか?
データベース内に s のみを許可された特定のユーザーSELECTがいて、このユーザーとしてそれらのクエリに別の接続を使用する必要がありますか?
そのようなツールのセキュリティについて、私が見落としている可能性があるものは他にありますか?

このツールが愚かであり、存在すべきではないことはわかっていますが、私は決定を担当していません。できるだけ早くそのツールを削除する予定です.

ASP.NET (Razor) Web ページから MySql (バージョン 5.0.95) データベースに接続しようとしています...
(Assembly MySql.Data.dll、v6.6.5.0)

まず、接続文字列に直接パスワードを直接指定してみました"...;pwd=myClearPassword". しかし、開こうとするとエラーが発生しました

「古いパスワードによる認証はサポートされなくなりました。4.1 スタイルのパスワードを使用してください。」

だから私は今、次のように自分のコードを更新しようとしています:

ただし、同じエラーが発生します。問題はどこだ？

PS。

SQL サーバーでは、old_passwords変数はON(デフォルト値はOFF ) に設定されます。私たちはサーバーを制御していないので、この変数は変更しないでください。

注意。
同じタイトルの質問がたくさんあります。ただし、質問の文脈が異なるため、この質問を重複させないでください。私は主に、上記のコードに対するこの回答からインスピレーションを得ました...

SQL Server 2014 の複数のテーブルでいくつかの列レベルのデータを暗号化する必要があります。Microsoft フォーラムのデータ列の暗号化に関する記事を読んだ後、少し混乱しています。暗号化されたデータ用にテーブルに新しい列を作成する必要がありますか? 暗号化されたデータ用に新しい列を作成する代わりに、既存の列を暗号化することは可能ですか? 列 A に、暗号化する必要があるクレジット カード情報があるとします。記事によると、暗号化されたクレジット カード情報を格納する列 B を作成する必要があります。追加の列 B を作成する代わりに、列 A で暗号化を行うことは可能ですか。ありがとう

Microsoft sql サーバー データベース (2012) があり、現在、メンテナンス プランを使用してバックアップされています。プランには、完全バックアップ、差分バックアップ、およびトランザクション ログ バックアップがあります。セキュリティ上の理由から、これらのファイルにパスワード保護を追加したいと考えています。メンテナンス プラン内でこれを達成する方法はありますか? 前もって感謝します。

AWS に MySQL RDS があり、プライベート サブネットの EC2 からのみアクセスできる場合、セキュリティの観点から (デフォルトの RDS 暗号化を使用して) 暗号化する利点はありますか。誰かが DB にアクセスできる唯一の方法は、AWS のプライベート サブネット内に入るときだけです。その場合、ハッカーは EC2 からデータにアクセスできるため、暗号化しても暗号化しなくても役に立ちません。唯一の違いは、暗号化された RDS を使用すると、データをダンプして別の場所にコピーするのに時間がかかることです。そうでなければ、プライベート RDS インスタンスを暗号化することの他の利点は何ですか? DB の唯一のバックアップが AWS 自体にあり、デフォルトの DB インスタンス バックアップを使用していると仮定すると、誰も DB バックアップから直接データにアクセスすることはできません。

こんにちは、私は通常のユーザーをメール検証と、次のような要求フォームを適用したユーザーを受け入れることができる special_users で作成する必要があります。

登録後のユーザーフォーム (Super_User はこのフォームを見ることができません)

一方、特別なユーザーには、このように申請者（ユーザー）のリストが表示されます（多くの特別なユーザーになることに注意してください）。通常のユーザーは、アクセスがここで制限されているため、このリストを見ることができません

ここで、special_user が名前をクリックし、フィールドで並べ替えまたは検索できる場合、最終的に、新しいユーザーが申請したユーザー申請フォームを表示できます。ユーザーはアプリケーションのリストに表示されなくなり、その super_user のリストにのみ表示されます。

その他の制限: ユーザーが自分の電子メールで登録したが、再度申請するために二重のアカウントを作成したい場合、スーパーユーザーが申請フォームを受け入れなかったので申請できません。

ユーザーは次の理由でブラックリストに登録される可能性があります: 1) 良い人ではない 2) 隣人が悪い

私がやろうとしているのは、ログインを伴うindex.htmlと、logout.htmlの場合と同じインデックスです。ログインが許可されている場合、ユーザーはロールに応じてコンテンツを持っています。誰かが助けてくれるなら、私は Jetbrains の PYCHARM を使用しています。私は Django は初めてですが、Python の経験は豊富です。

確認後の通常のユーザーのイメージ ビュー

すべての super_users の Super_User 共通ビュー