Vlákno názorů k článku Velké problémy neznámého portálu od Vac - Popisuje série článků na ug.cz (doporučuji) http://ug.cz/1058 http://ug.cz/1055 http://ug.cz/1029 http://ug.cz/969

Popisuje série článků na ug.cz (doporučuji)

http://ug.cz/1058
http://ug.cz/1055
http://ug.cz/1029
http://ug.cz/969

Ty clanky jsou vyborne.

Dokazu pochopit, ze nekdo opakovane dela chyby v tech modulech. Co nedokazu pochopit, proc ziskavani tech clanku je delano pod DB userem, ktery ma vsechny prava?
Underground na to upozornoval a nic. Kdyz mam system, ktery dela hlavne selecty z ruznych tabulek, tam ma mit jen SELECT pravo a jen na ty tabulky. Pripadne insert do nejake statisticke tabulky. Pristup do systemovych tabulek, pravo CREATE a dalsi je uplna silenost. Tohle melo byt opraveno rekneme do mesice od toho prvniho SQL injection.

Do mesice ? Tohle by mel KAZDY normalni admin opravit do 10ti minut po ohlaseni. Stat se to muze, neco se testuje a pak clovek zapomene a necha tomu zbytecna prava, ale jakmile mi nekdo rekne ze ucet pod kterym pracuje s DB web ma prava create/insert/select tam kam nema, tak to opravim za 10 minut i za cenu docasne nefukcnosti neceho jineho.

Pokud to nekdo neni schopen opravit cele mesice, je to proste neshopny clovek/firma a s takovymi bych se jako zakaznik/zamestnavatel behem 10ti minut rozloucil navzdy.

je vidět že jste nikdy nebyl nucen pracovat s produktem typu IBM DB2...

řekl bych, že to nedělají schválně, ale že ten produkt má jakousi vlastnost, že něco nějak nejde, pokud uživatele omezíme. Takže chtíc nechtíc musí jet pod power userem a navenek mlžit.

Už jsme měli ve firmě takovýto problém (aplikace záhadně padala při jisté shodě okolností, byl to Apache Tomcat na Solarisu) a věřte, že jediné řešení je sedět a čekat na novou verzi a modlit se aby

- to v té nové verzi bylo vyřešeno
- nikdo na to do té doby nepřišel

Delate si ze me srandu ? Pokud si jako zakaznik (stat) necham delat webovou aplikaci (coz portal ss rozhodne je), tak me vcelku nezajima na cem to pojede (HW/SW), zajima mme predevsim

A) Funknost => bude to delat co od toho ocekavam
B) Bezpecnost => data budou rozumne zabezpecena
C) Cena

Vyberu dodavatele a s nim sepisu smlouvu tak, ze je plne zodpovedny za body ^^. Samozrejme vcetne pripadnych nahrad za zpusobene skody (v pripade ss ty nahrady budou v desitkach milionu Kc). Samozrejmosti je, ze dodavatel MUSI byt pojisten.

Vubec me nezajima ze neco nejak nejde, dodavatel mel na bezpecnost a vyber SW myslet v okamziku kdy prijal smlouvu. Ciste nahodou delam tak trochu v oboru (spravuji DB nekolika klientu) a vsichni maji ve svych smlouvach velmi vysoke castky pro pripad naruseni bezpecnosti jejich dat. Jinak je vubec nezajima na cem a jak se zpracovavaji, to je muj problem (jinak by si to mohli delat sami), zajimaji je vysledky a bezpecnost.

Co blaznite? Ja viem, ze by to tak malo byt, ale v skutocnosti to byva inac:
1. cena: nech to je co najlacnejsie, alebo nech si na tom zarobi moj kamos
2. funkcnost: funguje to mne a mojmu kamosovi

Zadania byvaju v zmluvach specifikovane velmi slabo, casto v pripade bezpecnostnej diery alebo nekompatibility s nejakym standardom mozete dodavatela poziadat o (plateny) upgrade.