Microsoft не закроет просмотр паролей в SQL

Корпорация Microsoft и фирма Sentrigo разошлись в оценке ситуации с возможностью просмотра пользовательских паролей в SQL Server лицами, имеющими административный доступ к программе.

Фирма Sentrigo предупредила в среду о наличии \"серьезной уязвимости\" в SQL Server 2000, 2005 и 2008, использующем режим смешанной аутентификации (SQL Server and Windows Authentication Mode). В этом режиме люди, имеющие привилегии администраторов, могут просматривать пароли пользователей. В Sentrigo полагают, что хотя администраторам обычно положено иметь возможность менять пароли пользователей, видеть их в незашифрованном виде они не должны.

В Microsoft, в свою очередь, отказались менять способ управления паролями, указав на то, что пользователями с правами администраторов в любом случае имеют полный контроль над системой.

Представитель корпорации призвал клиентов использовать в работе уже выпущенные Microsoft инструкции по обеспечению безопасности.

Учитывая, что у среднестатистического администратора всегда имеется возможность подсмотреть данные авторизации пользователей еще как минимум полудюжиной способов, назвать находку Sentrigo серьезной уязвимостью действительно трудно. И хотя наличие возможности просмотра паролей, возможно, нарушает принципы глубинной безопасности, вряд ли IT-профессионалы потеряют из-за этого покой.

Впрочем, те, кто сон все-таки потеряет, могут воспользоваться бесплатной утилитой от Sentrigo, которая делает SQL Server более безопасным для пользователей. Загрузить утилиту можно здесь.

Источник: http://www.xakep.ru/post/49368/default.asp

0
928
0