Microsoft не закроет просмотр паролей в SQL
Корпорация Microsoft и фирма Sentrigo разошлись в оценке ситуации с возможностью просмотра пользовательских паролей в SQL Server лицами, имеющими административный доступ к программе.
Фирма Sentrigo предупредила в среду о наличии \"серьезной уязвимости\" в SQL Server 2000, 2005 и 2008, использующем режим смешанной аутентификации (SQL Server and Windows Authentication Mode). В этом режиме люди, имеющие привилегии администраторов, могут просматривать пароли пользователей. В Sentrigo полагают, что хотя администраторам обычно положено иметь возможность менять пароли пользователей, видеть их в незашифрованном виде они не должны.
В Microsoft, в свою очередь, отказались менять способ управления паролями, указав на то, что пользователями с правами администраторов в любом случае имеют полный контроль над системой.
Представитель корпорации призвал клиентов использовать в работе уже выпущенные Microsoft инструкции по обеспечению безопасности.
Учитывая, что у среднестатистического администратора всегда имеется возможность подсмотреть данные авторизации пользователей еще как минимум полудюжиной способов, назвать находку Sentrigo серьезной уязвимостью действительно трудно. И хотя наличие возможности просмотра паролей, возможно, нарушает принципы глубинной безопасности, вряд ли IT-профессионалы потеряют из-за этого покой.
Впрочем, те, кто сон все-таки потеряет, могут воспользоваться бесплатной утилитой от Sentrigo, которая делает SQL Server более безопасным для пользователей. Загрузить утилиту можно здесь.