27.04.2018, 15:40
|
|
Профессор
|
|
Регистрация: 04.12.2012
Сообщений: 3,726
|
|
|
Сообщение от ГеннадийС
|
|
Программа, ограничивающая доступ, будет проверять пароль, беря пароль из базы данных.
|
Если вы возвращаете какие-то отдельные сервисы на backend, то имеет ли смысл вообще от него отказываться?
Дешевле backend специалист не станет от того, что ему нужно будет обслуживать только список пользователей и еще нечто, что вы не сможете реализовать на клиенте. |
|
27.04.2018, 15:46
|
|
Интересующийся
|
|
Регистрация: 27.04.2018
Сообщений: 26
|
|
|
laimas,
Атака посредника самый очевидный способ несанкционированного получения доступа к информации. Передача паролей по уязвимой линии для любого сайта недопустима. Всегда необходимо шифрование. Что я ещё об этом могу вычитать?
|
|
27.04.2018, 16:20
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
ГеннадийС,
банально подделывают запрос, пакеты, сертификаты, компрометируют браузеры, просят подтверждений для получения ключа и т.д. Другими словами, если кто-то серьезно заинтересуется и возьмется, то получит необходимое, а у вас то, что должно быть скрыто, на блюдечке.
Да и вообще. Пусть я имею двух пользователей БД, одного с правами как администратора, а второго только для выборки из БД. То, что тело запроса формируемое на клиенте разгружает сервер, это полнейший бред, о чем и полемизировать не стоит. А то, что в этом случае сервер лишен возможности фильтровать данные извне, что он обязан делать, есть предпосылка к большим неприятностям, это факт, и шифрование, еще не есть гарантия. Иное доказывайте школьникам, кому угодно, мне не надо. 
Мы будем рассматривать этих двух пользователей чисто в плане прав, дабы исключить пакости, хотя у нас и так все по уму - все запросы формируются и инициализируются сервером. Все вроде бы Ок - пользователей я подключаю с привилегиями второго пользователя БД, а сам работаю со своими. Но ведь в этом случае база то мертвая будет. Что для меня означают мои посетители - учет, статистика и прочее, что позволяет реагировать на запросы/интересы, а значит процветать сайту. А что значит статистика, это значит слежение за пользователем - запись/обновление и т.п. Вот и получится, что для обслуживания одного запроса с привилегией SELECT придется открывать/закрывать различные соединения с БД, и если простой запрос на выборку зависит от иных данных, которые доступны только для соединения с расширенными привилегиями, то нехилая нагрузка лишняя возникает. А в случае запросов извне, да еще запрос "зуб даю, все честно", это еще и потенциальная очень опасная дыра.
Последний раз редактировалось laimas, 27.04.2018 в 16:24.
|
|
27.04.2018, 16:22
|
|
Интересующийся
|
|
Регистрация: 27.04.2018
Сообщений: 26
|
|
|
Это относится к любому сайту. Тут нет особенностей.
|
|
05.05.2018, 11:51
|
|
Интересующийся
|
|
Регистрация: 27.04.2018
Сообщений: 26
|
|
|
Цитата:
laimas написал:
---------------------------------
Да и вообще. Пусть я имею двух пользователей БД, одного с правами как администратора, а второго только для выборки из БД. То, что тело запроса формируемое на клиенте разгружает сервер, это полнейший бред, о чем и полемизировать не стоит. А то, что в этом случае сервер лишен возможности фильтровать данные извне, что он обязан делать, есть предпосылка к большим неприятностям, это факт, и шифрование, еще не есть гарантия. Иное доказывайте школьникам, кому угодно, мне не надо.
-------------------------------------------------------------------
Я разочарован уровнем обсуждения. Зачем Вы мне описываете то, о чём я и так знаю? Я знаю, что злоумышленник имеет специальный браузер или самописное программное обеспечение, которое даёт возможность отправлять на сервер произвольные запросы.
И я уже писал, что ограничитель доступа не даст превысить уровень доступа.
Экономия в следующем: сервер обслуживает много клиентов и если сократить количество интерпретаторов, работающих на нём, то будет очень существенная экономия производительности.
|
|
05.05.2018, 14:58
|
 |
Профессор
|
|
Регистрация: 19.01.2012
Сообщений: 498
|
|
|
Сообщение от ГеннадийС
|
|
Экономия в следующем: сервер обслуживает много клиентов и если сократить количество интерпретаторов, работающих на нём, то будет очень существенная экономия производительности.
|
Не будет. Вам уже говорили, что основные тормоза серверной части - запросы к бд. Всё остальное, это сущие копейки и экономия на спичках.
Даже наоборот, вы даёте простую возможность положить сервер DoS атакой через формирование сложных и долгих запросов без индексов. |
|
05.05.2018, 22:12
|
|
Интересующийся
|
|
Регистрация: 27.04.2018
Сообщений: 26
|
|
|
Белый шум, так Вы считаете, что база данных выполнит сложный запрос с большими затратами ресурсов, чем если этот сложный запрос заменить простыми и сделать эти простые запросы с помощью php? Что-то не верится.
|
|
05.05.2018, 23:01
|
|
Профессор
|
|
Регистрация: 19.01.2012
Сообщений: 498
|
|
|
Я не верю, а знаю - если вы принимаете произвольные SQL-запросы от кого угодно, то можно составить такой запрос. Разумеется, это на реальных данных, а не тестовой БД с одной таблицей в 3 строки и двумя столбцами.
|
|
06.05.2018, 08:27
|
|
Интересующийся
|
|
Регистрация: 27.04.2018
Сообщений: 26
|
|
|
Засорили интересную тему бесполезной чушью.
То есть разработчики баз данных такие беспомощные, что не могут разбить сложный запрос на простые и выполнить их быстрее, чем выполнение таких же запросов, поступивших от php?
Белый шум, тут очевидное логическое противоречие. Зачем вы участвуете в этом обсуждении? Только отвлекаете от основной темы.
И я уже несколько раз тут повторил, что произвольные запросы не будут выполняться.
И тестовая база данных у меня из 10 таблиц, в которых сотни и тысячи тестовых данных.
|
|
06.05.2018, 09:49
|
|
Профессор
|
|
Регистрация: 19.01.2012
Сообщений: 498
|
|
|
Да я уже понял что зря вступил в разговор с теоретиком...
|
|
|
|
