Пуленепробиваемый бэкенд на PostgreSQL
1 256
59.8
LoftBlog382 тыс
Следующее
23.06.16 – 2 3304:12Популярные
172 дня – 3 07730:12
212 дней – 1 52117:59Опубликовано 22 июня 2016, 14:54
Доклад Дениса Милованова на тему "Пуленепробиваемый бэкенд на PostgreSQL".
В наше время, когда фреймворки "из коробки" защищают приложение от инъекций и межсайтовой подделки запросов, а также самостоятельно пишут SQL, очень легко почувствовать себя в комфорте и безопасности и потерять контроль над данными.
В типичном Web-приложении, запросы к объектам базы данных идут от имени одного и того же пользователя, который эти объекты и создавал. Наличие уязвимости в коде приложения в такой ситуации равнозначно краже и/или уничтожению всей информации. Разработчики с опытом иногда урезают права на выполнение особо "крутых" команд, например, DROP TABLE / DATABASE, или даже создают отдельных пользователей с правом читать или писать в конкретные таблицы.
Но даже такой подход никуда не годится. Злоумышленник, получив доступ к базе от имени пользователя, которому доступно чтение, сможет прочитать всю таблицу, что может быть крайне критичным и недопустимым для бизнеса.
В версии 9.5 PostgreSQL заявлена Row-Level Security Policy (RLS), но, пока светлое будущее не наступило, наша задача - сделать пуленепробиваемый "бэкенд" с использованием хранимых процедур.
Как правильно создавать пользователей базы данных?
Как перенести логику приложения в хранимые процедуры и выдать на них нужные права, чтобы надежно защитить данные?
Как тестировать и выкатывать правки в "бэкенд", сделанный подобным образом?
Смотрите интервью с IT-специалистами : youtube.com/playlist?list=PLY4...
Не ограничивай себя видеоуроками на YouTube!
Узнавайте еще больше полезной информации! Общайтесь с опытными разработчиками, преподавателями и развивайся через личное общение!
Telegram: telegram.me/loftblog
Slack: slack.loftblog.ru
Наш сайт: loftblog.ru
Instagram: instagram.com/loftblog
ВКонтакте: vk.com/loftblog
facebook: facebook.com/loftblog
twitter: twitter.com/loft_blog
-----------------------------------------------------------------------------------
Не забываем, что самый лучший способ сказать "спасибо" - нажать кнопку "нравится" и скинуть ссылку на урок друзьям. Ничто другое так сильно не мотивирует автора продолжать работу :)
В наше время, когда фреймворки "из коробки" защищают приложение от инъекций и межсайтовой подделки запросов, а также самостоятельно пишут SQL, очень легко почувствовать себя в комфорте и безопасности и потерять контроль над данными.
В типичном Web-приложении, запросы к объектам базы данных идут от имени одного и того же пользователя, который эти объекты и создавал. Наличие уязвимости в коде приложения в такой ситуации равнозначно краже и/или уничтожению всей информации. Разработчики с опытом иногда урезают права на выполнение особо "крутых" команд, например, DROP TABLE / DATABASE, или даже создают отдельных пользователей с правом читать или писать в конкретные таблицы.
Но даже такой подход никуда не годится. Злоумышленник, получив доступ к базе от имени пользователя, которому доступно чтение, сможет прочитать всю таблицу, что может быть крайне критичным и недопустимым для бизнеса.
В версии 9.5 PostgreSQL заявлена Row-Level Security Policy (RLS), но, пока светлое будущее не наступило, наша задача - сделать пуленепробиваемый "бэкенд" с использованием хранимых процедур.
Как правильно создавать пользователей базы данных?
Как перенести логику приложения в хранимые процедуры и выдать на них нужные права, чтобы надежно защитить данные?
Как тестировать и выкатывать правки в "бэкенд", сделанный подобным образом?
Смотрите интервью с IT-специалистами : youtube.com/playlist?list=PLY4...
Не ограничивай себя видеоуроками на YouTube!
Узнавайте еще больше полезной информации! Общайтесь с опытными разработчиками, преподавателями и развивайся через личное общение!
Telegram: telegram.me/loftblog
Slack: slack.loftblog.ru
Наш сайт: loftblog.ru
Instagram: instagram.com/loftblog
ВКонтакте: vk.com/loftblog
facebook: facebook.com/loftblog
twitter: twitter.com/loft_blog
-----------------------------------------------------------------------------------
Не забываем, что самый лучший способ сказать "спасибо" - нажать кнопку "нравится" и скинуть ссылку на урок друзьям. Ничто другое так сильно не мотивирует автора продолжать работу :)
Свежие видео
2 дня – 5 8181:00
2 дня – 510:26
2 дня – 60815:22
5 дней – 340:57
6 дней – 2 70712:56
Случайные видео
55 дней – 1 236 39219:51
305 дней – 1 12811:37
323 дня – 51518:27
28.01.22 – 5 7485:03
03.06.21 – 3 0921:18
06.01.21 – 63 8544:26
1 час – 47953:09
2 дня – 10 71717:13
2 дня – 8877:16
4 дня – 3473:15
7 дней – 63 21322:17
7 дней – 111:24
10 часов – 1776:20
22 часа – 1 0540:59