30/05/2008

SQL Server Compartilhado

Esse post me veio a mente depois que falei sobre o DTS do SQL Express Edition.
Tem um detalhe que sempre me pertubou no ambiente SQL compartilhado : visualizar os databases alheios.
Ao me conectar ao servidor da Locaweb (por exemplo), por default todos os databases registrados na tabela sysdatabase são listados.
Provedores sérios (como a Locaweb) garantem a segurança de acesso aos dados, mas existe uma pequena "falha" no conceito hacker: Engenharia Social.
Como quase todo mundo atribui o nome do database o nome do projeto, cliente e/ou sistema, fica fácil estimar os custos e assim fazer um "aproach" comercial mais direcionado pois além do mercado ser pequeno, os "ratos" de venda (ou departamento comercial) estão cada dias mais espertos.
Para resolver esse problema, basta editar as configurações de permissões na raiz do SQL:
Server Properties > Permissions > Logins or Roles > Effective Permissions
Outro detalhe sobre visualização de databases na Locaweb ligado a essa Role, é que no momento de Import/Export essa Role está corretamente configurada: na caixa de seleção só aparece o meu database.
Já mandei um post no Fórum da Locaweb pedindo essa alteração na configuração do SQL deles, mas sinceramente acho difícil, pois realmente a segurança dos dados está garantida.
Posso parecer neurótico, mas me incomoda MUITO saber que o meu database pode ser visto por terceiros.
De qualquer forma, fica meu post aqui para quem quiser aplicar essas alterações caso esse cenário exista internamente na sua empresa.

Nenhum comentário: