rremus:
Cind am creat userul 'rremus' la sqlserver.ro in mod sigur nu am primit GRANT pe nici un obiect din baza de date. S-a creat un record al acestui user intr-o tabela, dar acesta nu este in nici un fel implicat in drepturile de access din baza de date. Toate drepturile sint acordate aplicatiei Web. Eventual aplicatia are citeva roluri definite (ex. user simplu vs. moderator) care au access la mai multe sau mai putzine module, dar astea nu se reflecta in mod sigur in nici un fel asupra drepturilor efective din baza de date. De exemplu daca in aceasi baza de date se adauga o tabela de catre o alta aplicatie, nu exista nici un mod de a restrictiona 'userii' Web sa o acceseze, intr-ucit ei nu exista ca 'security pricipals'. Ce se restrictioneaza este accessul aplicatiei Web.
In aceste cazuri nu vorbesti despre securitate in baza de date, ori discutia noastra era pornita de la avantajele SQL vs. proceduri si un argument a fost controlul accesului la proceduri prin useri si GRANT-uri. Argumentul tau (useri Web) este nu are legatura cu discutia noastra (GRANT-uri in baza de date).
cand am zis de aplicatia web aveam in cap situatii cum ar fi faptul ca tu poti sa editezi doar posturile tale si eu pe ale mele.. idee care eu zic ca se poate repeta si in alte situatii.
PS: nu am pretentia ca as fi specialist in securitate (in mod cert nu sunt) insa nu obisnuiesc sa ma multumesc cu un raspuns care nu acopera aspecte care ma interseaza chiar daca este perfect valid in alte situatii, motiv pt care prefer sa extind discutia in asa fel incat sa cuprinda tot ce ma intereseaza decat sa ignor anumite ramificatii.
in alta ordine de idei IT-ul nu este o stiinta atat de fixa ca si matematica sau fizica ci inca e in dezvoltare si continua schimbare asa ca nu vad ceva rau in a incerca sa reinventezi ceva in acest domeniu...
