Re: Bloqueo de hojas de calculo

Jorge Alberto Aquino Andrade escribió:

> El hecho de no tener un usuario de base cada usuario de la aplicacion fue
> por que dicen que en una aplicación WEB ya no aplica ese concepto, que solo
> aplica para las aplicaciones cliente - servidor.

Los que "dicen esto" están equivocados. Puede que ya no sirva
distinguir usuarios individuales (ya no hay "juan" y "pedro", sino sólo
"usuario web"), pero sí tiene sentido tener un "usuario web sólo
lectura" y "usuario web que puede escribir en tablas X, Y, Z". Si no lo
haces así, dependes de que tu aplicación web sea totalmente a prueba de
balas para que ningún divertidijirillo cracker de la internecs pueda
eliminar toda tu base de datos sólo para divertirse; o aún peor,
cambiarla sutilmente para que le envíes un centavo por cada click sólo
para financiar su mansión de las islas Caimán mientras tú te jodes.

.. porque la historia enseña que las aplicaciones web no sólo no son a
pruebas de balas, sino que más que kevlar parecer coladores, es decir,
llenos de hoyos que dejan pasar desde el agua (inocua, siempre que no
sea mucha) hasta kriptonita hirviendo (mortal incluso en ínfimas
cantidades).

Si toda tu seguridad depende de tu aplicación web, estás frito. Es
importante compartimentalizar y dar a cada uno el menor privilegio
posible, de manera que aún si penetran, no quedes totalmente vulnerable.

--
Álvaro Herrera http://www.2ndQuadrant.com/
PostgreSQL Development, 24x7 Support, Training & Services

-
Enviado a la lista de correo pgsql-es-ayuda (pgsql-es-ayuda(at)postgresql(dot)org)
Para cambiar tu suscripción:
http://www.postgresql.org/mailpref/pgsql-es-ayuda