39,5. kèo bóng đá c1

Do viết lại kèo bóng đá c1 truy vấn củaPostgreSQLHệ thống kèo bóng đá c1, các bảng/chế độ xem khác so với các bảng được sử dụng trong truy vấn ban đầu được truy cập. Khi các kèo bóng đá c1 cập nhật được sử dụng, điều này có thể bao gồm quyền truy cập ghi vào các bảng.

Viết lại các kèo bóng đá c1 không có chủ sở hữu riêng. Chủ sở hữu của một mối quan hệ (bảng hoặc chế độ xem) tự động là chủ sở hữu của các kèo bóng đá c1 viết lại được xác định cho nó.PostgreSQLHệ thống kèo bóng đá c1 thay đổi hành vi của hệ thống điều khiển truy cập mặc định. Các mối quan hệ được sử dụng do các kèo bóng đá c1 được kiểm tra đối với các đặc quyền của chủ sở hữu kèo bóng đá c1, chứ không phải người dùng gọi kèo bóng đá c1.

Ví dụ: Người dùng có danh sách kèo bóng đá c1 số điện thoại trong đó một số trong số họ là riêng tư, những người khác được trợ lý của văn phòng quan tâm. Người dùng có thể xây dựng như sau:

Tạo bảng điện thoại_data (văn bản người, văn bản điện thoại, boolean riêng);

Không ai ngoại trừ người dùng đó (và siêu người dùng cơ sở dữ liệu) có thể truy cậpPhone_dataBảng. Nhưng vìGrant, Trợ lý có thể chạyChọntrênPhone_numberXem. Hệ thống kèo bóng đá c1 sẽ viết lạiChọntừPhone_numberthành AChọntừPhone_data. Vì người dùng là chủ sở hữu củaPhone_numberVà do đó, chủ sở hữu của kèo bóng đá c1, việc đọc quyền truy cập vàoPhone_datahiện được kiểm tra đối với các đặc kèo bóng đá c1ền của người dùng và truy vấn được cho phép. Kiểm tra truy cậpPhone_number

Các đặc quyền được kiểm tra kèo bóng đá c1 theo kèo bóng đá c1. Vì vậy, trợ lý bây giờ là người duy nhất có thể nhìn thấy số điện thoại công cộng.Phone_numberDữ liệu thông qua chế độ xem của Trợ lý. Điều mà trợ lý không thể làm là tạo một chế độ xem trực tiếp truy cậpPhone_data. (Trên thực tế, trợ lý có thể, nhưng nó sẽ không hoạt động vì mọi kèo bóng đá c1ền truy cập sẽ bị từ chối trong khi kiểm tra kèo bóng đá c1ềnPhone_numberXem, người dùng có thể thu hồi kèo bóng đá c1ền truy cập của trợ lý. Ngay lập tức, mọi kèo bóng đá c1ền truy cập vào chế độ xem trợ lý sẽ thất bại.

Người ta có thể nghĩ rằng kiểm tra theo kèo bóng đá c1 này là một lỗ hổng bảo mật, nhưng thực tế nó không phải là. Nhưng nếu nó không hoạt động theo cách này, trợ lý có thể thiết lập một bảng có cùng cột nhưPhone_numbervà sao chép dữ liệu vào đó một lần mỗi ngày. Sau đó, đó là dữ liệu của chính trợ lý và trợ lý có thể cấp kèo bóng đá c1ền truy cập cho mọi người họ muốn.Grantlệnh có nghĩa là,"Tôi tin tưởng bạn". Nếu ai đó bạn tin tưởng làm điều ở trên, đã đến lúc phải suy nghĩ về nó và sau đó sử dụngthu hồi.

Lưu ý rằng trong khi kèo bóng đá c1 chế độ xem có thể được sử dụng để ẩn nội dung của một số cột bằng cách sử dụng kỹ thuật được hiển thị ở trên, chúng không thể được sử dụng để che giấu đáng tin cậy dữ liệu trong kèo bóng đá c1 hàng không nhìn thấy trừ khiSecurity_Barriercờ đã được đặt. Ví dụ: chế độ xem sau là không an toàn:

Tạo View Phone_Number AS

Chế độ xem này có vẻ an toàn, vì hệ thống kèo bóng đá c1 sẽ viết lại bất kỳChọntừPhone_numberthành AChọntừPhone_datavà thêm trình độ chỉ kèo bóng đá c1 mục nhập trong đóĐiện thoạiKhông bắt đầu với 412 là muốn. Nhưng nếu người dùng có thể tạo kèo bóng đá c1 chức năng của riêng họ, không khó để thuyết phục người lập kế hoạch thực thi chức năng do người dùng xác định trướckhông thíchBiểu thức. Ví dụ:

Tạo chức năng Tricky (văn bản, văn bản) Trả về Bool dưới dạng $$

mỗi người và số điện thoại trongPhone_dataBảng sẽ được in dưới dạngThông báo, vì người lập kế hoạch sẽ chọn thực hiện rẻ tiềnTrickyHàm trước khi đắt hơnkhông thích. Ngay cả khi người dùng bị ngăn chặn xác định kèo bóng đá c1 chức năng mới, kèo bóng đá c1 chức năng tích hợp có thể được sử dụng trong kèo bóng đá c1 cuộc tấn công tương tự.

Cân nhắc tương tự áp dụng cho các kèo bóng đá c1 cập nhật. Trong các ví dụ của phần trước, chủ sở hữu của các bảng trong cơ sở dữ liệu ví dụ có thể cấp các đặc quyềnChọn, Chèn, Cập nhậtvàXóatrênShoelaceXem cho người khác, nhưng chỉChọntrênShoelace_log. Hành động kèo bóng đá c1 để ghi các mục nhật ký vẫn sẽ được thực thi thành công và người dùng khác có thể thấy các mục nhật ký.Shoelace_loglà một người không đủ tiêu chuẩnChèn. Điều này có thể không đúng trong kèo bóng đá c1 tình huống phức tạp hơn.

Khi cần thiết để cung cấp bảo mật cấp hàng,Security_Barrierthuộc tính nên được áp dụng cho chế độ xem. Điều này ngăn chặn kèo bóng đá c1 hàm và toán tử được chọn một cách độc hại được truyền kèo bóng đá c1 giá trị từ kèo bóng đá c1 hàng cho đến khi chế độ xem đã thực hiện công việc của nó.

Tạo View Phone_Number với (Security_Barrier)

chế độ xem được tạo bằngSecurity_BarrierCó thể thực hiện tồi tệ hơn nhiều so với kèo bóng đá c1 chế độ xem được tạo mà không cần tùy chọn này. Nói chung, không có cách nào để tránh điều này: kế hoạch nhanh nhất có thể phải bị từ chối nếu nó có thể thỏa hiệp bảo mật.

Người lập kế hoạch truy vấn có tính linh hoạt hơn khi xử lý kèo bóng đá c1 chức năng không có tác dụng phụ. kèo bóng đá c1 chức năng như vậy được gọi làLeakproof, và bao gồm nhiều toán tử đơn giản, thường được sử dụng, chẳng hạn như nhiều toán tử bình đẳng. Trình lập kế hoạch truy vấn có thể cho phép kèo bóng đá c1 chức năng như vậy được đánh giá một cách an toàn tại bất kỳ điểm nào trong quá trình thực thi truy vấn, vì việc gọi chúng trên kèo bóng đá c1 hàng vô hình cho người dùng sẽ không rò rỉ bất kỳ thông tin nào về kèo bóng đá c1 hàng không nhìn thấy.LeakproofĐể được đẩy xuống, vì chúng không bao giờ nhận được dữ liệu từ chế độ xem. Ngược lại, một hàm có thể gây ra lỗi tùy thuộc kèo bóng đá c1o các giá trị nhận được dưới dạng đối số (chẳng hạn như một hàm gây ra lỗi trong trường hợp tràn hoặc phân chia theo 0) không bị rò rỉ và có thể cung cấp thông tin quan trọng về các hàng không nhìn thấy nếu được áp dụng trước các bộ lọc hàng của chế độ xem bảo mật.

Điều quan trọng là phải hiểu rằng ngay cả một chế độ xem được tạo bằngSecurity_BarrierTùy chọn chỉ nhằm bảo mật theo nghĩa hạn chế rằng nội dung của kèo bóng đá c1 bộ dữ liệu vô hình sẽ không được chuyển đến kèo bóng đá c1 chức năng không an toàn. Người dùng cũng có thể có kèo bóng đá c1 phương tiện khác để đưa ra kèo bóng đá c1 suy luận về dữ liệu chưa từng thấy;Giải thíchhoặc đo thời gian chạy của kèo bóng đá c1 truy vấn so với chế độ xem. Kẻ tấn công độc hại có thể suy ra điều gì đó về lượng dữ liệu chưa từng thấy hoặc thậm chí có được một số thông tin về phân phối dữ liệu hoặc kèo bóng đá c1 giá trị phổ biến nhất (vì những điều này có thể ảnh hưởng đến thời gian chạy của kế hoạch; hoặc thậm chí, vì chúng cũng được phản ánh trong số liệu thống kê tối ưu hóa, lựa chọn kế hoạch).