eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPodatkiGrupypl.soc.prawo.podatkimala ksiegowosc RPRe: mala ksiegowosc RP
  • Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!news.onet.pl!newsfeed.neostrada.pl!n
    emesis.news.neostrada.pl!atlantis.news.neostrada.pl!news.neostrada.pl!localhost
    !smolik
    From: Gotfryd Smolik news <s...@s...com.pl>
    Newsgroups: pl.soc.prawo.podatki
    Subject: Re: mala ksiegowosc RP
    Date: Mon, 16 Feb 2009 13:45:12 +0100
    Organization: TP - http://www.tp.pl/
    Lines: 91
    Message-ID: <Pine.WNT.4.64.0902161330260.4032@quad>
    References: <gmrduf$345$1@inews.gazeta.pl> <gms77g$5a6$1@news.wp.pl>
    <gmu0ca$12o$1@inews.gazeta.pl> <Pine.WNT.4.64.0902111159490.3616@quad>
    <gmud0u$7dh$1@inews.gazeta.pl> <gmv4qa$mc3$1@atlantis.news.neostrada.pl>
    <gn0hql$7s4$1@inews.gazeta.pl> <gn23qv$14g$1@atlantis.news.neostrada.pl>
    <gn3g5o$7o0$1@inews.gazeta.pl> <gn4af4$7vr$1@atlantis.news.neostrada.pl>
    <gn68sa$p9t$1@inews.gazeta.pl> <gn6cbi$egv$2@news.interia.pl>
    <gn6gq8$324$1@inews.gazeta.pl> <gn6lgc$q2q$1@news.interia.pl>
    <gn8s4o$jci$1@atlantis.news.neostrada.pl> <gn8upl$kd7$1@news.interia.pl>
    <gna4sj$sk1$1@nemesis.news.neostrada.pl> <gna5uj$7pb$1@news.interia.pl>
    <Pine.WNT.4.64.0902161227070.3880@quad> <gnbkj0$456$1@news.interia.pl>
    NNTP-Posting-Host: emh123.internetdsl.tpnet.pl
    Mime-Version: 1.0
    Content-Type: TEXT/PLAIN; charset=ISO-8859-2; format=flowed
    Content-Transfer-Encoding: 8BIT
    X-Trace: nemesis.news.neostrada.pl 1234789202 8349 83.15.167.123 (16 Feb 2009
    13:00:02 GMT)
    X-Complaints-To: u...@n...neostrada.pl
    NNTP-Posting-Date: Mon, 16 Feb 2009 13:00:02 +0000 (UTC)
    In-Reply-To: <gnbkj0$456$1@news.interia.pl>
    X-X-Sender: moj@quad
    User-Agent: Hamster/2.1.0.11
    Xref: news-archive.icm.edu.pl pl.soc.prawo.podatki:208485
    [ ukryj nagłówki ]

    On Mon, 16 Feb 2009, Tristan wrote:

    > (autor Gotfryd Smolik news
    [...do Tristana a on do kogoś...]
    >
    >>>>>> i NIE DA SIĘ TEGO ZROBIĆ W ŻADNEN SPOSÓB ...
    >>>>> Wydaje ci się. Da się i jest możliwe. Można przydzielać dowolnie ACL-e.
    >> ACL wymaga autoryzacji *na użytkownika*.
    >> Nie *na hasło*.
    >
    > A użytkownik ma hasło, nicht wahr? Więc bez znajomości jego hasła, nikt się
    > nie dostanie.

    Ale za to dowolny inny użytkownik, zupełnie nieświadom tego co my
    ustawiamy, może ustawić dla tego "dostępowego" użytkownika dodatkowy
    inny dostęp.
    Po prostu - taki "dodatkowy użytkownik" ma *nie tylko* te dostępy,
    ktore są określone danym zasobem. I te "zbędne dostępy" są nie do
    uniknięcia.

    > Ah, no to na tym polega normalna praca. Czy w protokole SFTP masz takie
    > magiczne opcje?

    Wiesz, ja w ogóle mam niskie mniemanie o protokołach z rodziny IP.
    Poza tym że (ze względu na prostotę) zawładnęły światem jakoś
    nie są dla mnie wzorem wszystkich rozwiązań ;)

    >> Za krótka wyobraźnia?
    >> Po to, żeby użytkownikow nie zakładać fafset skoro nie trzeba.
    >
    > No to załóż jednego i podaj jego hasło wszystkim i będziesz miał jak w 98.
    > Tylko zamiast HASŁO trzeba będzie podać USER:HASŁO.

    Nie rozumiesz.
    Problemem jest, że na tego użytkownika inni mogą dać inne dostępy.
    Nie ma kontroli "jednopunktowej". Udostępniającej tej jeden jedyny
    zasób.
    I nie posługuj się przypadkami, w których właśnie taki sposób
    udostępniania jest bezsensowny - bo oczywiscie takie istnieją.
    Brak możliwości stworzenia dedykowanego dostępu "na pojedyncze
    hasło do pojedynczego zasobu" jest ograniczeniem i tyle.
    To że można je obejść... to dobrze ;)

    >> Przede wszystkim taka autoryzacja (przez użytkownika) nie może
    >> być *bardzo* prosto ograniczona do przykładu którego żąda
    >> Tommy - czyli przykładowego jednego katalogu (i tylko niego).
    >
    > Jak nie? Udostępnionym katalogom przydzielasz prawa tak, że ten user dostaje
    > prawa tylko dla tego katalogu.

    Jeszcze raz: nie mozesz ZAPOBIEC temu, że taki user będzie miał
    dostęp do INNYCH zasobów.
    Kto inny mi da dostęp (inny użytkownik) i będzie miał (dostęp),
    a nie będzie różnicy miedzy tym dostępem "jedynym" (który chciałeś
    dać) a innymi (które ktoś inny dał).

    >> Przy dostępie "na hasło" jest prosto - żądający dostępu musi znać
    >> TYLKO nazwę zasobu (ze ścieżką) i hasło.
    >> A jednocześnie to hasło nie daje (i to z 100% skutecznością nie daje)
    >> żadnych innych dostępów - bo przywiązane jest TYLKO do tego zasobu.
    >
    > No ale to jest zabieranie się do sprawy od dupy strony. Idea jest taka, że
    > masz swój login i hasło i on ma prawa lub nie do określonych działań.

    To jest idea pracy "przez użytkownika".
    Bardzo dobra i najlepsza w istotnej większości przypadków.
    Co nie jest tożsame z "zawsze".

    >> To, że brak autoryzacji *zasobu* "na hasło" (bez użyszkodnika) jest
    >> istotny jest oddzielną sprawą i tylko do tego się wetknąłem.
    >
    > No to załóż usera NONAME.

    Kiedy chodzi o to, aby nie dawać *zbędnych* uprawnień.
    Uniknięcie zbędnych uprawnień dla użyszkodnika, wbrew pozorom,
    wcale nie jest takie proste.
    Klasyka (w WinXP): dostęp na "wszyscy użytkownicy".
    I tak jest we wszystkich systemach. Jak OS zawiera mechanizm dostępu
    "na hasło" niezależnie od użyszkodnika, to pozwala łatwo nie dać
    dostępu do tego co mają "wszyscy użytkownicy" dając go do wybranego
    zasobu.
    Wystarczy primitywna obsługa na poziomie języka komend i możliwość
    dedykowanego "odpalenia".

    > Windows 98 miał atrapę bezpieczeństwa.

    A to inna sprawa.
    To zaś, że miał INNY mechanizm, który był ZALETĄ, to zupełnie inna.
    I *odrębna* od owej atrapowości.

    pzdr, Gotfryd

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1