Alternativa para WRAP | GPO (Grupo de Profissionais Oracle)

Este tópico contém 6 respostas, 3 vozes e foi atualizado pela última vez 14 anos, 6 meses atrás por vieri.

Visualizando 7 posts - 1 até 7 (de 7 do total)

Autor

Posts
5 de julho de 2010 às 9:07 pm #94934
Eduardo Gomes
Participante
Alguém conhece outra maneira de criptografar objetos do oracle que não seja pelo wrap???
Encontrei um site que faz o processo inverso deixando vulnerável a criptografia dos objetos….
O site é http://hz.codecheck.ch/UnwrapIt/Unwrap.jsp.

Grato
Eduardo Gomes
5 de julho de 2010 às 11:10 pm #94938
fsitja
Participante
Wrapping não é uma “criptografia” de código, está mais para uma forma de “embaralhar” o código e dificultar o acesso ao código-fonte, em especial impedir o uso através das views do dicionário de dados, como a ALL_SOURCE.

Entretanto, não creio que haja uma alternativa… mesmo assim, eu não consigo enxergar muita utilidade para wrapping de qualquer forma, mesmo que fosse “inquebrável”.
6 de julho de 2010 às 12:08 am #94942
Eduardo Gomes
Participante
[quote=”fsitja”:1e8i11qa]Entretanto, não creio que haja uma alternativa… mesmo assim, eu não consigo enxergar muita utilidade para wrapping de qualquer forma, mesmo que fosse “inquebrável”.[/quote]

Boa tarde fsitja!!!!
Uso o WRAP como uma forma de “impedir” que o usuário (clientes) tenha acesso às regras de negócios que estão dentro do código-fonte. E como citei anteriormente existe(m) forma(s) de enxerga o código “embaralhado” anulando assim essa segurança.

Você não usa nenhum método de segurança para os códigos “críticos” de seu sistema??
6 de julho de 2010 às 6:07 pm #94953
fsitja
Participante
Na verdade não… só controlando privilégios no nível de banco de dados. Cliente usuário não vai acessar o BD diretamente de qualquer forma, pois só deve acessar via interface de usuário.

Se por cliente você quer dizer desenvolvedores, então é um pouco mais complicado, mas é meio indesejável ocultar a lógica dos desenvolvedores em caixas pretas.

Porém, dá sempre para encapsular esses códigos mais sensíveis em packages e procedures e dar grant de execute apenas em “fachadas”, que redirecionam a chamada. Obviamente qualquer um com acesso à dba_source ainda vai enxergar, mas não há remédio.

A documentação deixa claro que o wrapping não é seguro para armazenar senhas e informações sensíveis, pois pode ser violado:
http://download.oracle.com/docs/cd/E118 … #LNPLS1744

– Wrapping is not a secure method for hiding passwords or table names.
Wrapping a PL/SQL unit helps prevent most users from examining the source code, but might not stop all of them.

Mas, sim, basicamente é um atestado que wrapping é meio inútil… 😆
6 de julho de 2010 às 6:43 pm #94954
vieri
Participante
Cá entre nós… o Wrapping é para proteger códigos valiosos,
como de packages internas do Oracle, ou te sistemas
de ERP como SAP, sistemas bancários.

Fora isso a nível de privilégios ja atende.
7 de julho de 2010 às 7:44 pm #94971
Eduardo Gomes
Participante
Justamente o wrap é proteger códigos valiosos e de ERP, e no meu caso estava usando para a proteção do código do ERP que é desenvolvido na empresa onde trabalho.

A respeito de privilégios, temos alguns agravantes, como por exemplo, a implantação do sistema é feita por terceiros e estes acabam precisando do acesso ao banco e ai que está nossa dificuldade. Hoje usamos o wrap como uma forma de segurança, mas descobrimos que ela é vulnerável.
Por isso gostaríamos de saber se há outra forma alternativa ao wrap.

Agradeço a atenção de todos!!!
7 de julho de 2010 às 10:46 pm #94974
vieri
Participante
Vale a pena uma sondada nesses link’s sobre segurança…

http://www.dba-oracle.com/forensics/t_f … everse.htm

http://webcourse.cs.technion.ac.il/2363 … tation.pdf

http://www.nyoug.org/Presentations/2002/hackproof.PDF

http://www.databasesecurity.com/dbsec/d … o-logs.pdf
Autor

Posts

Visualizando 7 posts - 1 até 7 (de 7 do total)

Você deve fazer login para responder a este tópico.