Bases de datos

Posts 1-2 of 2

Fernando Madrigal Hidalgo Group moderator
The company name is only visible to registered members.

Impacto de los pooles de conexion.
Para las personas que han tenido la oportunidad de trabajar en rdbms, que permiten el auditoraje y monitoreo de las actividades de los distintos usuarios, es bastante contradictorio que las nuevas tendencias en conectividad de aplicaciones web, por medio de pooles de conexion, en conjunto con el uso de servidores de aplicacion vuelvan imposible de identificar a los responsables de las actividades dentro de la base de datos.

Dejando esa responsabilidad en manos de los desarrolladores de aplicacion, con todas las consecuencias negativas que esto conlleva.

Quisiera plantear el uso de caracteristicas como los shared_servers de oracle, para no tomar la opcion "de moda" en perjuicio de la seguridad de los sistemas.
- 13 Mar 2008, 6:16 pm
Fernando Madrigal Hidalgo wrote: > Para las personas que han tenido la oportunidad de trabajar en rdbms, > que permiten el auditoraje y monitoreo de las actividades de los > distintos usuarios, es bastante contradictorio que las nuevas > tendencias en conectividad de aplicaciones web, por medio de pooles > de conexion, en conjunto con el uso de servidores de aplicacion > vuelvan imposible de identificar a los responsables de las > actividades dentro de la base de datos. > > Dejando esa responsabilidad en manos de los desarrolladores de > aplicacion, con todas las consecuencias negativas que esto conlleva. > > Quisiera plantear el uso de caracteristicas como los shared_servers > de oracle, para no tomar la opcion "de moda" en perjuicio de la > seguridad de los sistemas.
Enrique Utrilla Molina
The company name is only visible to registered members.

Re: Impacto de los pooles de conexion.
A mi entender, las características de auditoria y accounting de las bases de datos como, por ejemplo Oracle, están enfocadas a un caso de uso muy distinto del habitual en las páginas web.

Se trataría sobre todo de aplicaciones específicas, donde la seguridad es crítica y cada usuario tiene que estar dado de alta en la propia base de datos, especificando su propio nombre de usuario y contraseña. Esto no sólo conlleva un cierto coste de administración, asignación de permisos, etc. sino que no es útil si no se trata de un entorno controlado, es decir, si no podemos asociar un nombre de usuario con una persona con nombres y apellidos.

En cambio, en las páginas web típicas si se requiere un usuario y contraseña normalmente no hay ningún tipo de verificación de identidad alternativa, por lo que no hay forma de saber a ciencia cierta que un usuario es quien dice ser. Por ejemplo, cualquiera puede crear una cuenta de hotmail a nombre de Pepito Pérez, aunque no se llame así. Y desde ese punto de vista, todo el concepto de auditoría queda desvirtuado, ya que no se le puede achacar una actuación indebida a nadie.

Además, lo que se busca en la mayor parte de los sitios web es la optimización de recursos y que con una máquina limitada se pueda dar servicio a muchas peticiones. Para ello, reutilizar conexiones es un método bastante conveniente, que además nos libra del coste en tiempo del establecimiento de una conexión dedicada, que individualmente es pequeño, pero ante una carga fuerte de transacciones puede suponer un esfuerzo para el servidor.
- 03 Apr 2008, 01:08 am
Enrique Utrilla Molina wrote: > A mi entender, las características de auditoria y accounting de las > bases de datos como, por ejemplo Oracle, están enfocadas a un caso de > uso muy distinto del habitual en las páginas web. > > Se trataría sobre todo de aplicaciones específicas, donde la > seguridad es crítica y cada usuario tiene que estar dado de alta en > la propia base de datos, especificando su propio nombre de usuario y > contraseña. Esto no sólo conlleva un cierto coste de administración, > asignación de permisos, etc. sino que no es útil si no se trata de un > entorno controlado, es decir, si no podemos asociar un nombre de > usuario con una persona con nombres y apellidos. > > En cambio, en las páginas web típicas si se requiere un usuario y > contraseña normalmente no hay ningún tipo de verificación de > identidad alternativa, por lo que no hay forma de saber a ciencia > cierta que un usuario es quien dice ser. Por ejemplo, cualquiera > puede crear una cuenta de hotmail a nombre de Pepito Pérez, aunque no > se llame así. Y desde ese punto de vista, todo el concepto de > auditoría queda desvirtuado, ya que no se le puede achacar una > actuación indebida a nadie. > > Además, lo que se busca en la mayor parte de los sitios web es la > optimización de recursos y que con una máquina limitada se pueda dar > servicio a muchas peticiones. Para ello, reutilizar conexiones es un > método bastante conveniente, que además nos libra del coste en tiempo > del establecimiento de una conexión dedicada, que individualmente es > pequeño, pero ante una carga fuerte de transacciones puede suponer un > esfuerzo para el servidor.

Bases de datos

Impacto de los pooles de conexion.

Re: Impacto de los pooles de conexion.