Dnes: 21. ledna 2018    | Registrace | Hledáme | Redakce | Info | Testy | Školení | Ocenění | Nápověda | Čtenář: nepřihlášen

Rychlé odkazy
  • Hlavní stránka
  • Seznam rubrik
  • Ankety
  • Editoriály
  • TOP 15
  • KONFERENCE 2008
  • KONFERENCE 2007
  • KONFERENCE 2006
  • KONFERENCE 2005
  • KONFERENCE 2004
  • Sborník
  • Testy
  • Virtuální školení
  • Personalizace


  • Hledáte práci?
    Hledáme redaktora - pojďte s námi tvořit Databázový svět!

    Vyhledávání

    Hledej
    na Databázovém světě!



    Rozšířené vyhledávání

    Rubriky
    Aktuality
    Bezpečnost
    Business
    Česká scéna
    Datové sklady
    Dokumentace
    Dotazovací jazyky
    Hardware
    Historie
    Komentáře
    Literatura
    Metodologie
    Nondb
    Open Source
    Poradna
    Produkty
    Případové studie
    Redakce
    Rozhovory
    Standardy
    Technologie
    Tipy - triky
    Tiskové zprávy
    Vývoj
    Vývojové nástroje
    Zajímavosti

    Co je to?
    SQL
    (Structured Query Language)

    Jedná se o neprocedurální jazyk, používaný v databázových technologiích. Počátky tohoto jazyka spadají do druhé poloviny minulého století.

    Akce
    Dynamická Datová Centra
    - na semináři se seznámíte s komplexním řešením a koncepcí Dynamických Datových Center od Fujitsu Siemens Computers se speciálním důrazem na řešení FlexFrame.

    Textová inzerce
    IBPhoenix - Vše o InterBase a Firebirdu.

    Smějete se rádi? - Pak je pro vás Vtipník to pravé!

    Prodejce reklamy - Hledáme schopného prodejce reklamního prostoru, možnost i externí spolupráce.

    Přihlášený čtenář
    Nepřihlášený čtenář

    O portálu
    Databázový svět
    ISSN: 1213-5933

    Web je optimalizován pro rozlišení 1024x768, nicméně kromě větších rozlišení podporujeme i 800x600. Podrobnosti najdete zde.

    Chcete-li mít kdykoliv možnost zkontrolovat obsah našeho portálu, můžete využít podporu rss. Podrobnosti najdete zde.
    Je Oracle opravdu unbreakable?


    [Komentáře] - Bezpečnost databázových platforem Oracle a ostatních produktů této společnosti je v posledních měsících často diskutovanou oblastí. Přinášíme vám v podobě komentáře další pohled na tuto problematiku, která – jak ukazují poslední události – je stále aktuální.



    "Nová série kritických zranitelností ukazuje, že Oracle nemůže být nadále považovaný za baštu bezpečnosti. Manažeři databází a aplikací musí začít agresivněji chránit a udržovat oraclovské systémy."

    Těmito nepříliš lichotivými slovy začíná studie nezávislé americké analytické společnosti Gartner. Titulek zprávy je přitom stejně neshovívavý jako její obsah – Nedostatky ukazují na potřebu aktualizování praktik řízení [vývoje] produktů Oracle.

    Nejnovější vlna zájmu o vztah mezi firmou Oracle a bezpečností naposledy narostla 17. ledna 2006, kdy tato společnost vydala nový balík záplat Critical Patch Update. Ten obsahoval aktualizace odstraňující v produktech 82 známých chyb, které se vyskytly ve všech momentálně podporovaných oraclovských platformách. Ošetřeno tak bylo 37 problémů spojených s Oracle Database, 17 v Oracle Application Server, 20 v Oracle Collaboration Suite, 27 týkajících se Oracle E-Business Suite and Applications a dvě Oracle PeopleSoft Enterprise a JD Edwards EnterpriseOne.

    Problémy mají různé dopady – někdy umožňují útočníkovi získat důležité informace, jindy přepsat soubory, provést SQL injection apod.

    Vlastní problém přitom není ve vydávání záplat (chyby v počítačových programech byly, jsou a budou), ale v celém přístupu společnosti Oraclu k bezpečnosti. Zpráva od analytiků ze společnosti Gartner na jedné straně příznivě hodnotí politiku Oraclu vydávání záplat v pravidelných čtvrtletních intervalech, která umožňuje plánovat správu a údržbu systémů.

    Na druhé straně ale zpráva konstatuje, že vzhledem k frekvenci a především závažnosti chyb vyvolává záplatování jednou za tři měsíce nemalé obavy. Oracle nikdy nezaznamenal masový problém či útok, ale jednoznačným současným trendem v oblasti kyber-útoků je přechod od kvantity (napadnout co nejvíce systémů) ke kvalitě (napadnou jen určitý systém, ale něco zajímavého z něj získat).

    Mnoho správců podnikových architektur přitom spoléhá na historické zkušenosti – Oracle opravdu býval (ne neprávem) symbolem bezpečnosti. Navíc je zapotřebí si uvědomit, že oraclovské aplikace a databáze jsou typicky uložené hluboko v lokálních sítích, takže jim není věnována taková pozornost jako aplikacím takříkajíc v první linii. A kromě toho – mnoho bezpečnostních vlastností je jen v Oracle Enterprise Edition, nejsou k dispozici ve Standard Edition nebo Standard Edition One. Mnoho z pokročilých bezpečnostních funkcí je k dispozici za příplatek (včetně balíčků Advanced Security a Label Security, které přijdou na něco kolem deseti tisíc dolarů/procesor).

    Společnost Gartner ve své studii upozorňuje, že chyby se objeví se zvyšující se frekvencí a nástrojů jich zneužívajících je na internetu volně ke stažení čím dál více. Oracle dle studie také poskytuje jen velmi omezené informace o chybách (doslova "mnohem méně než je průmyslovým standardem"). Postižené firmy tak jen obtížně odhadují možná rizika a špatně se jim rozhoduje o protiopatřeních. Oracle někdy dokonce provádí aktualizace bez veřejného oznámení.

    Kvalita a snadnost nasazení záplat Oracle potřebují zlepšení, protože jsou opakovaně reportovány problémy s jejich instalací a následnou stabilitou systému. A nakonec – Oracle nepřináší popis alternativních řešení problémů, takže uživatel je opravdu odkázaný na (ne)funkčnost záplat.

    Kromě těchto konstatování Gartner přináší i řadu doporučení, jak se chovat v případě, že produkty od Oracle používáte. V první řadě je zapotřebí tyto technologie ošetřit dalšími službami: firewally, systémy IPS (Intrusion Prevention System) apod. Dále je nutné aplikovat všechny dostupné záplaty a nespoléhat se na nekompletní informace. Navíc je nutné, aby zákazníci vytvořili tlak na Oracle, aby změnil své praktiky ohledně bezpečnosti. Což je doporučení nezávislé analytické agentury vpravdě bezprecedentní.

    Pochopitelně, že současná situace je vodou na mlýn největšímu konkurentovi Oraclu – společnosti Microsoft. Ta tak nyní pomalu začíná sklízet ovoce ze své filozofie Trustworthy Computing, jejíž součástí je i iniciativa Security Development Lifecycle. V ní se klade maximální důraz na bezpečnost po celou dobu životního cyklu produktu – od návrhu, přes vývoj, testování, nasazení až po každodenní provoz/údržbu. Odměnou za tuto filozofii je pro Microsoft klesající počet vyskytnuvších se bezpečnostních chyb. Hlavně v posledních dvou letech je opravdu markantní rozevírání pomyslných "nůžek" mezi aplikacemi Oracle a Microsoft SQL Server.

    Microsoft si mne ruce i proto, že sám dobře ví, že cesta k bezpečnosti je dlouhá a trnitá. Sám si ji ostatně prošel a v poslední době i jeho velcí odpůrci připouštějí, že velké pokroky jsou vidět a znát. Mnozí komentátoři soudí, že pro Oracle bylo už včera pozdě vydat se bezpečnosti vstříc. A i kdyby se rozhodl o změně kurzu prakticky okamžitě, bude mu trvat několik let než začne sklízet ovoce svého snažení. Takže pokud si dnes ještě někdo vzpomene na pět let starý výrok Larryho Ellisona o "nerozbitnosti" Oracle, tak už jen s úsměvem ...

    O útvaru Komentář
    Komentáře na Databázovém světě nevyjadřují názor redakce, jsou soukromými pohledy autorů/komentátorů na popisovanou věc. Jednotlivá fakta tak mohou být více či méně subjektivně zabarvená.

    ( Celý článek! | Autor: Tomáš Přibyl | Počet komentářů: 0 | Přidat komentář | Informační e-mailVytisknout článek )

    Vyhledávání
     

    Anketa
    Kolik ročně utratíte za dovolené?

    Nic 
     (1557 hl.)
    Do 1 000,- Kč 
     (1074 hl.)
    Do 10 000,- Kč 
     (1003 hl.)
    Do 25 000,- Kč 
     (1385 hl.)
    Do 50 000,- Kč 
     (1019 hl.)
    Do 75 000,- Kč 
     (1183 hl.)
    Více než 75 000,- Kč 
     (1022 hl.)

    Celkem hlasovalo: 8243


    Poslední komentáře
    frontierd@126.com
    frontierd@126.com
    frontierd@126.com
    c
    http://www.coachoutl

    Newsletter
    Přihlaste si nezávazně - i bez registrace - odběr informačního newsletteru. Podrobné informace najdete zde.

    Emailová adresa:


    Kalendář
    <<  Leden  >>
    PoÚtStČtSoNe
    1234567
    891011121314
    15161718192021
    22232425262728
    293031    

    Redakci připojuje


    Nejčtenější

    Databáze je prázdná!


    Nejvíce komentářů

    Databáze je prázdná!


    Reklama






    Nenechte si ujít články na dalších webech




    Na této stránce použité názvy programových produktů, firem apod. mohou být ochrannými známkami
    nebo registrovanými ochrannými známkami příslušných vlastníků.

    Databázový svět | dfKlub - digitální fotografie | Vtipník - vtipy přímo k Vám | Reminder - přestaňte zapomínat | Databázový svět

    Copyright (c) 2004 AVRE Publishing, spol. s r.o. Všechna práva vyhrazena