Комментарии 9
Простите, что такое «базовые, типовые векторы»?
Правильный вектор развития админов ;-)
Firebird при установке на Linux генерирует случайный пароль. Masterkey — дефолтный пароль только на винде.
Firebird при установке на Linux генерирует случайный пароль. Masterkey — дефолтный пароль только на Windows. Обычно пароль все таки меняют.
Далее, чтобы зарегистрировать внешнюю UDF, необходимо явно переопределить в конфиге параметр
#UdfAccess = Restrict UDF
который по умолчанию ограничивает папку, в которой можно создавать внешние функции, папкой UDF в установочной папке Firebird.
Т.е. для описанного взлома кто-то должен предварительно дать взломщику пароль SYSDBA, перенастроить конфиг, перезапустить Firebird… ну и еще ключи от квартиры, где деньги лежат.
Далее, чтобы зарегистрировать внешнюю UDF, необходимо явно переопределить в конфиге параметр
#UdfAccess = Restrict UDF
который по умолчанию ограничивает папку, в которой можно создавать внешние функции, папкой UDF в установочной папке Firebird.
Т.е. для описанного взлома кто-то должен предварительно дать взломщику пароль SYSDBA, перенастроить конфиг, перезапустить Firebird… ну и еще ключи от квартиры, где деньги лежат.
К сожалению, в случае установки Firebird на Windows пароль меняют крайне редко.
Неоднократно сталкивался с masterkey.
В свою очередь подключение внешних UDF функций — не редкость, иногда их тоже включают для своих нужд.
Поэтому рассмотренный сценарий вполне реалистичен для Windows платформы.
Если используется Linux, то безусловно там ситуация с дефолтными настройками намного лучше.
Неоднократно сталкивался с masterkey.
В свою очередь подключение внешних UDF функций — не редкость, иногда их тоже включают для своих нужд.
Поэтому рассмотренный сценарий вполне реалистичен для Windows платформы.
Если используется Linux, то безусловно там ситуация с дефолтными настройками намного лучше.
>К сожалению, в случае установки Firebird на Windows пароль меняют крайне редко.
Если экземпляр для разработки, то не меняют. Но в продакшене? Или тем более при поставке вместе с встроенной системой — не просто меняют, но и SYSDBA блокируют.
>В свою очередь подключение внешних UDF функций — не редкость, иногда их тоже включают для своих нужд.
По умолчанию дается вполне удобная настройка — dll в подпапке udf могут быть подключены как внешние функции.
Давать доступ куда-то еще, а тем более на весь компьютер — это верх разгильдяйства.
Такие люди наверное и пароль на Винде блокируют, для своих нужд.
И да — у нас (www.ibase.ru) статистики то побольше, так что не надо спорить :)
Если экземпляр для разработки, то не меняют. Но в продакшене? Или тем более при поставке вместе с встроенной системой — не просто меняют, но и SYSDBA блокируют.
>В свою очередь подключение внешних UDF функций — не редкость, иногда их тоже включают для своих нужд.
По умолчанию дается вполне удобная настройка — dll в подпапке udf могут быть подключены как внешние функции.
Давать доступ куда-то еще, а тем более на весь компьютер — это верх разгильдяйства.
Такие люди наверное и пароль на Винде блокируют, для своих нужд.
И да — у нас (www.ibase.ru) статистики то побольше, так что не надо спорить :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
DB hacking или экскурс в мир СУБД