Menu de navegação

[Eduardo GomesParticipante]

Alguém conhece outra maneira de criptografar objetos do oracle que não seja pelo wrap???
Encontrei um site que faz o processo inverso deixando vulnerável a criptografia dos objetos….
O site é http://hz.codecheck.ch/UnwrapIt/Unwrap.jsp.

Grato
Eduardo Gomes

[fsitjaParticipante]

Wrapping não é uma “criptografia” de código, está mais para uma forma de “embaralhar” o código e dificultar o acesso ao código-fonte, em especial impedir o uso através das views do dicionário de dados, como a ALL_SOURCE.

Entretanto, não creio que haja uma alternativa… mesmo assim, eu não consigo enxergar muita utilidade para wrapping de qualquer forma, mesmo que fosse “inquebrável”.

[Eduardo GomesParticipante]

[quote=”fsitja”:1e8i11qa]Entretanto, não creio que haja uma alternativa… mesmo assim, eu não consigo enxergar muita utilidade para wrapping de qualquer forma, mesmo que fosse “inquebrável”.[/quote]

Boa tarde fsitja!!!!
Uso o WRAP como uma forma de “impedir” que o usuário (clientes) tenha acesso às regras de negócios que estão dentro do código-fonte. E como citei anteriormente existe(m) forma(s) de enxerga o código “embaralhado” anulando assim essa segurança.

Você não usa nenhum método de segurança para os códigos “críticos” de seu sistema??

[fsitjaParticipante]

Na verdade não… só controlando privilégios no nível de banco de dados. Cliente usuário não vai acessar o BD diretamente de qualquer forma, pois só deve acessar via interface de usuário.

Se por cliente você quer dizer desenvolvedores, então é um pouco mais complicado, mas é meio indesejável ocultar a lógica dos desenvolvedores em caixas pretas.

Porém, dá sempre para encapsular esses códigos mais sensíveis em packages e procedures e dar grant de execute apenas em “fachadas”, que redirecionam a chamada. Obviamente qualquer um com acesso à dba_source ainda vai enxergar, mas não há remédio.

A documentação deixa claro que o wrapping não é seguro para armazenar senhas e informações sensíveis, pois pode ser violado:
http://download.oracle.com/docs/cd/E118 … #LNPLS1744

– Wrapping is not a secure method for hiding passwords or table names.
Wrapping a PL/SQL unit helps prevent most users from examining the source code, but might not stop all of them.

Mas, sim, basicamente é um atestado que wrapping é meio inútil… 😆

[vieriParticipante]

Cá entre nós… o Wrapping é para proteger códigos valiosos,
como de packages internas do Oracle, ou te sistemas
de ERP como SAP, sistemas bancários.

Fora isso a nível de privilégios ja atende.

[Eduardo GomesParticipante]

Justamente o wrap é proteger códigos valiosos e de ERP, e no meu caso estava usando para a proteção do código do ERP que é desenvolvido na empresa onde trabalho.

A respeito de privilégios, temos alguns agravantes, como por exemplo, a implantação do sistema é feita por terceiros e estes acabam precisando do acesso ao banco e ai que está nossa dificuldade. Hoje usamos o wrap como uma forma de segurança, mas descobrimos que ela é vulnerável.
Por isso gostaríamos de saber se há outra forma alternativa ao wrap.

Agradeço a atenção de todos!!!

[vieriParticipante]

Vale a pena uma sondada nesses link’s sobre segurança…

http://www.dba-oracle.com/forensics/t_f … everse.htm

http://webcourse.cs.technion.ac.il/2363 … tation.pdf

http://www.nyoug.org/Presentations/2002/hackproof.PDF

http://www.databasesecurity.com/dbsec/d … o-logs.pdf

[Autor]

Posts