| PostgreSQL 9.2.24 문서 | ||||
|---|---|---|---|---|
| 이전 | 위로 | 제37장. 스포츠 토토 시스템 | 토토 핫 : 문서 : 9.2 : 규칙 및 명령 상태 | |
다음에 의한 쿼리 재작성으로 인해포스트그레SQL스포츠 토토 시스템, 기타 테이블/뷰 원래 쿼리에 사용된 것보다 액세스됩니다. 업데이트 시 스포츠 토토이 사용되며 여기에는 테이블에 대한 쓰기 액세스가 포함될 수 있습니다.
재작성 스포츠 토토에는 별도의 소유자가 없습니다. 소유자는 관계(테이블 또는 뷰)는 자동으로 해당 항목의 소유자가 됩니다. 이에 대해 정의된 스포츠 토토을 다시 작성합니다.포스트그레SQL스포츠 토토 시스템이 동작을 변경합니다. 기본 액세스 제어 시스템의. 사용되는 관계 스포츠 토토 소유자의 권한과 비교하여 스포츠 토토을 확인하려면 스포츠 토토을 호출하는 사용자가 아닙니다. 즉, 사용자는 단지 그가 명명한 테이블/뷰에 필요한 권한 그의 질문에 명시적으로.
예: 사용자는 다음 중 일부가 포함된 전화번호 목록을 가지고 있습니다. 그것들은 비공개이고 나머지는 장관의 관심 사항입니다. 사무실. 그는 다음을 구성할 수 있습니다:
CREATE TABLEphone_data(사람 문자, 전화 문자, 개인 부울);
전화번호 보기를 AS로 생성
사람을 선택하고 비공개가 아닌 경우 CASE 그런 다음 전화로 전화를 종료하세요.
전화_데이터에서;
비서에게 전화번호에 대한 선택 부여;
그 사람(그리고 데이터베이스 수퍼유저) 외에는 누구도 접근할 수 없습니다.phone_data테이블. 하지만 그 때문에그랜트, 비서는 다음을 실행할 수 있습니다.선택에전화_번호보기. 스포츠 토토 시스템이 다시 작성됩니다선택에서전화_번호으로선택fromphone_data. 사용자가 소유자이므로전화_번호따라서 스포츠 토토의 소유자는 읽기 액세스phone_data현재 그의 권한을 확인하면 쿼리가 허용됩니다. 는 액세스 확인전화_번호또한 수행되지만 이는 호출하는 사용자에 대해 수행되므로 아무도 하지만 사용자와 비서는 사용할 수 있습니다.
권한은 스포츠 토토별로 확인됩니다. 그래서 비서는 현재 공중전화번호를 볼 수 있는 사람은 나뿐이다. 하지만 비서가 다른 보기를 설정하고 해당 보기에 대한 액세스 권한을 부여할 수 있습니다. 대중. 그러면 누구든지 볼 수 있습니다.전화_번호비서의 관점을 통한 데이터. 비서가 할 수 없는 일은 직접적으로 뷰를 생성하는 것입니다. 액세스phone_data. (실제로 그는 그럴 수 있다. 하지만 실행 중에는 모든 액세스가 거부되므로 작동하지 않습니다. 권한 확인.) 그리고 사용자가 알게 되자마자 비서가 열었다.전화_번호보기, 그는 자신의 액세스 권한을 취소할 수 있습니다. 즉시, 비서의 견해는 실패할 것이다.
이 스포츠 토토별 확인은 보안이라고 생각할 수도 있습니다. 구멍이지만 실제로는 그렇지 않습니다. 하지만 이 방법으로 작동하지 않으면 비서는 다음과 같은 열로 테이블을 설정할 수 있습니다.전화_번호그리고 거기에 데이터를 복사하세요 하루에 한 번. 그러면 그것은 자신의 데이터이고 그는 다음에 대한 액세스 권한을 부여할 수 있습니다. 그가 원하는 모든 사람. 갑그랜트명령 의미한다,"나는 당신을 믿습니다". 만약 누군가 당신이 신뢰는 위의 일을 합니다. 이제 다시 생각해 볼 시간입니다. 사용취소.
뷰를 사용하여 다음 내용을 숨길 수 있다는 점에 유의하세요. 위에 표시된 기술을 사용하는 특정 열은 보이지 않는 행의 데이터를 안정적으로 숨기는 데 사용됩니다.security_barrier플래그가 설정되었습니다. 에 대한 예를 들어 다음 뷰는 안전하지 않습니다.
CREATE VIEW 전화번호 AS
전화가 '412%'가 아닌 곳에서 전화_데이터에서 사람, 전화를 선택하세요.
이 보기는 안전해 보일 수 있습니다. 왜냐하면 스포츠 토토 시스템은
다시 작성선택from전화_번호으로선택에서phone_data그리고 다음 항목만 해당하는 제한을 추가합니다.전화412로 시작하지 않음을 원합니다. 하지만 만약
사용자가 자신만의 기능을 만들 수 있어 어렵지 않습니다.
플래너가 사용자 정의 함수를 실행하도록 설득하기 위해
이전에좋아하지 않음식.
예를 들면:
CREATE FUNCTION 까다로운(텍스트, 텍스트) $$로 bool을 반환합니다.
시작
공지 올리기 '% = %', $1, $2;
반환 참;
종료
$$ 언어 plpgsql 비용 0.0000000000000000000001;
SELECT * FROM 전화_번호 WHERE 까다로움(사람, 전화);
모든 사람과 전화번호phone_data테이블은 다음과 같이 인쇄됩니다.공지, 플래너가 실행을 선택하기 때문입니다.
저렴한까다로움함수
더 비싸기 전에좋아하지 않음.
사용자가 새로운 기능을 정의하는 것을 방해하더라도
내장 함수를 유사한 공격에 사용할 수 있습니다. (예를 들어,
대부분의 캐스팅 함수에는 오류에 입력 값이 포함됩니다.
그들이 생성하는 메시지.)
업데이트 스포츠 토토에도 비슷한 고려사항이 적용됩니다. 예제에서는 이전 섹션의 예에서는 테이블의 소유자입니다. 데이터베이스가 권한을 부여할 수 있음선택, 삽입, 업데이트및삭제에신발끈다른 사람에게만 볼 수 있음선택켜짐신발끈_로그. 작성하는 스포츠 토토 작업 로그 항목은 계속 성공적으로 실행되며 다른 항목은 사용자는 로그 항목을 볼 수 있습니다. 하지만 그는 가짜를 만들 수 없습니다 항목을 조작하거나 기존 항목을 제거할 수도 없습니다. 이에 경우에는 스포츠 토토을 뒤집을 가능성이 없습니다. 기획자가 작업 순서를 변경하도록 설득하는 것입니다. 참조하는 유일한 스포츠 토토신발끈_로그부적격자입니다삽입. 더 복잡한 경우에는 그렇지 않을 수도 있습니다. 시나리오.
뷰가 행 수준 보안을 제공해야 하는 경우,security_barrier속성은 다음과 같아야 합니다. 뷰에 적용됩니다. 이는 악의적으로 선택된 기능을 방지합니다. 뷰가 완료될 때까지 행에서 연산자가 호출되지 않습니다. 작업을 완료했습니다. 예를 들어 위에 표시된 뷰가 이렇게 생성하면 안전할 것입니다.
(보안 장벽) AS로 전화번호 보기 만들기
전화가 '412%'가 아닌 곳에서 전화_데이터에서 사람, 전화를 선택하세요.
다음으로 생성된 보기security_barrier조회수보다 성능이 훨씬 나쁠 수 있습니다. 이 옵션 없이 생성되었습니다. 일반적으로 피할 수 있는 방법은 없습니다. 이: 가능한 가장 빠른 계획은 거부되어야 합니다. 보안을 손상시킵니다. 이러한 이유로 이 옵션은 활성화되지 않습니다. 기본적으로.
쿼리 플래너는 다음을 처리할 때 더 많은 유연성을 갖습니다. 부작용이 없는 기능. 그러한 기능은 다음과 같습니다. ~로누출 방지, 다수를 포함 많은 항등 연산자와 같이 간단하고 일반적으로 사용되는 연산자입니다. 쿼리 플래너는 이러한 기능을 안전하게 평가할 수 있습니다. 쿼리 실행 프로세스의 어느 시점에서든 쿼리를 호출한 이후 사용자에게 보이지 않는 행에서는 정보가 유출되지 않습니다. 보이지 않는 행. 대조적으로, 다음을 던질 수 있는 함수는 인수로 받은 값(예: 오버플로나 나누기가 발생하면 오류가 발생합니다. 0) 누출 방지 기능이 없으며 상당한 보안 이전에 적용된 경우 보이지 않는 행에 대한 정보 뷰의 행 필터.
다음으로 생성된 뷰도security_barrier옵션이 의도된 것입니다. 제한된 의미에서만 안전합니다. 보이지 않는 튜플은 안전하지 않을 가능성이 있는 튜플에 전달되지 않습니다. 기능. 사용자는 다른 제작 수단을 가질 수도 있습니다. 보이지 않는 데이터에 대한 추론; 예를 들어, 그들은 다음을 볼 수 있습니다 다음을 사용한 쿼리 계획설명또는 측정 뷰에 대한 쿼리의 런타임. 악의적인 공격자는 보이지 않는 데이터의 양에 대해 추론할 수 있거나 심지어 데이터 분포 또는 대부분에 대한 정보를 얻습니다. 공통 값(이러한 값은 런타임에 영향을 미칠 수 있으므로 계획; 또는 심지어 최적화 프로그램에도 반영되기 때문에 통계, 계획 선택). 이러한 유형의 "은밀한" 경우 채널' 공격이 우려되기 때문에 허용하는 것은 아마도 현명하지 못할 것입니다. 데이터에 대한 모든 액세스.