Первый пост — сильно не бить :)
Наткнулся в сети на компьютер (могу сообщить ip) с поднятым на нём MS SQL Server 2000. И у пользователя 'sa' нет пароля! Небольшое исследование выявило наличие на сервере базы BANKCLIENT, а в ней куча интересных таблиц, из которых, путём простейших размышлений, стали предположительно известны паспортные данные, а также пара банковских счетов основного пользователя компьютера!
Вопрос — это так и было задумано при построении системы, или это чей-то косяк? Если да, то нужно ли (и имеем ли мы на это право) как-то донести до владельца компьютера эту информацию о потенциальной проблеме? И как?
Я сходу придумал такое решение — создаём базу, и делаем её бекап. В MS SQL Server бекап производится на сам сервер, поэтому, кстати, без всяких «хаков» мы можем легко «увидеть» файловую систему, в том числе имена всех Win-юзеров. Так вот делаем бекап, указывая месторасположение — рабочий стол пользователя, а в названии файла — наш информационный текст для владельца компьютера!
Достаточно просто, хотя, безусловно, может вызвать негативную реакцию пользователя, которому мы добавили головную боль…
А что посоветуете вы? Может, вообще не стоит заморачиваться?
Наткнулся в сети на компьютер (могу сообщить ip) с поднятым на нём MS SQL Server 2000. И у пользователя 'sa' нет пароля! Небольшое исследование выявило наличие на сервере базы BANKCLIENT, а в ней куча интересных таблиц, из которых, путём простейших размышлений, стали предположительно известны паспортные данные, а также пара банковских счетов основного пользователя компьютера!
Вопрос — это так и было задумано при построении системы, или это чей-то косяк? Если да, то нужно ли (и имеем ли мы на это право) как-то донести до владельца компьютера эту информацию о потенциальной проблеме? И как?
Я сходу придумал такое решение — создаём базу, и делаем её бекап. В MS SQL Server бекап производится на сам сервер, поэтому, кстати, без всяких «хаков» мы можем легко «увидеть» файловую систему, в том числе имена всех Win-юзеров. Так вот делаем бекап, указывая месторасположение — рабочий стол пользователя, а в названии файла — наш информационный текст для владельца компьютера!
Достаточно просто, хотя, безусловно, может вызвать негативную реакцию пользователя, которому мы добавили головную боль…
А что посоветуете вы? Может, вообще не стоит заморачиваться?
