** Mariusz Kruk <Mariusz.Kruk@epsilon.eu.org> wrote:
>>>>> Można np. ustawić taką polisę, że wprawdzie nie będzie wymagać
>>>>> pozwolenia od zalogowanego użytkownika dla podłączenia z zewnątrz
>>>>> do podglądu,
>>>> Totalnie niezgodne z podstawami bezpieczeństwa teleinformatycznego.
>>> Dlategoboponieważ?
>> Bo właściciel informacji (ten użytkownik, do którego chcesz się
>> podpiąć) nie ma wpływu na to komu ją udostępnia - w sensie ktoś może
>> go bez jego wiedzy podglądać.
> Właścicielem informacji jest pracodawca.
Whatever. Wiesz o co chodzi. Niech będzie dysponentem.
> Pultasz się też o to, że ktoś robi backupy Twoich plików z serwera?
A Ty tak wrzucasz istotne informacje na serwer bez zaszyfrowania ich?
>>> (oczywiście zdajesz sobie sprawę, że użytkownik podłączający się
>>> musi być wcześniej odpowiedino uwierzytelniony i zautoryzowany,
>>> prawda?)
>> No jasne. Bo przecież wcale nie jest tak, że większość zagrożeń idzie
>> z wewnątrz sieci. :)
> Ale zwróciłeś uwagę, że tam jest "odpowiednio" (z literówką zresztą
> ;->)? Nie każdy może sobie ot tak przyjść i się podłączyć.
I co z tego? Wystarczy jeden niezadowolony pracownik z takim
uprawnieniem i może już sporo namieszać. Prosta zasada - dostęp do sesji
użytkownika powinien się odbywać za jego zgodą i wiedzą (ew. zgodę może
wydać ktoś inny, ale nie jest to rolą informatyka aby o tym decydować).
Kropka.
--
+ ' .-. .
, * ) )
http://kosmosik.net/ . . '-' . kK
Received on Sun Dec 14 00:45:13 2008
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 14 Dec 2008 - 01:42:01 MET