From: Hüseyin Ergün (huseyin@turquaz.com)
Date: Sun 29 Aug 2004 - 23:31:06 EEST
Oncelikle hepinize tavsiyeleriniz icin tesekkur ederim.
Bizler de bastan duzgun bir tasarim yapmak icin ugrasiyoruz.
Proje, Javayla yazilan ticari uygulama. Ozetle cikardigimiz permission
modeli,
kullanici, grup ve modul listesi icin 3 ayri table var.
izinler hicbirsey, okuma, yazma, silme diye 4 kategori. Iki tane
tabloda tutuluyor.
grup, modul, modulun_alt_bolumu, izin (Ornegin)
Admin Stok * (yani hepsi) Write
Admin * * read
aynisinin bir tanede kullanicilar icin olani var. Kullaniciya ozel
tanimlama yapabiliyorlar.
Dinamik modul degisimini destekliyor. Disardan kolaylikla modul ekleyip
cikartabilirsiniz. Tablolar degismez.
Java kisminda da, butun user interface class'lari secure abstract
classini extend ediyorlar. Pencere acildigi zaman, iznine gore butonlar
degisiyor. Yani write hakki yoksa, write butonu aktif olmuyor.
Daha sonra ayrintili yazicaz. Bu sekilde ozetlenebilir.
Iyi geceler.
On Sat, 2004-08-28 at 11:45 +0300, Tonguc Yumruk wrote:
> Yanlmyorsam modler bir yapya sahiptiniz. rnein kullanclarn
> modllere dorudan eriimini kaldrarak ie balayabilirsiniz. Modllere
> yaplacak tm arlar bir gvenlik katman zerinden salanr. Bu
> sayede her modln kendi ierisinde gvenlik kontrol yapmas ihtiyac
> ortadan kalkar.
> Hatta eer ii paranoyaklk seviyesine srklerseniz modllere yaplacak
> her arnn bir MAC (Message Authentication Code) iermesi ve
> modllerin uygun MAC iermeyen arlar altrmamas salanabilir. Bu
> sayede modllere dorudan yaplacak tm arlarn n kesilmi olur.
>
> Gvenlik verisinin nasl tutulaca konusuna gelince. En basitinden
> yle bir sistem olabilir. Bir tabloda ykl modllerin kayd tutulur.
> Her modl iin de ayn unix dosya sistemlerindekine benzer sahip, grup
> verisi ve izin bitleri tutulur. Veya biraz daha gelimi bir yap
> isterseniz modl ad, kullanc|grup, izin tipi eklinde bir yap da
> kullanlabilir. Bu daha esnek bir ACL yaps salayacaktr. Veya
> kullanc izin seviyeleri bir aa yaps eklinde de tutulabilir.
> Ksacas bu iin sonu yok...
>
> Yalnz bu noktada Donald E. Knuth'un bir szn hatrlatmak isterim:
> Gvenlik, tpk doruluk gibi, bir sisteme sonradan eklenemez.
> Security, like correctness, is not an add-on feature.
>
> Bu nedenle batan gvenlik tasarmn sk tutmanz tavsiye ederim...
>
> Thu, Aug 26, 2004 at 03:47:50PM +0300 Tarihinde Hseyin Ergn Demiki :
> > Hazirladigimiz GPL projeye coklu kullanici destegi eklemek icin ugrasiyoruz.
> > Istedigimiz role-based authorization. Kullanicilar olsun, gruplar olsun,
> > belirli modullere veya onun componentlarina erisim izinleri olsun. Ornegin,
> > hic,okuma,yazma,silme,admin gibi. Bir kullanici birden fazla gruba ait
> > olabilir. Kullaniciya ozel izinler verilebilir.
> >
> > Dusundugumuz yontemler pek icimize sinmedi. Postnuke'un yapisi guzel, birde
> > Jaas var onlari arastiriyoruz.
> >
> > Tum bu sistemi veritabaninda nasil tutariz, Kodla nasil implement ederiz?
> > Daha once benzeri bir uygulama yapmissaniz veya bildiginiz bir proje varsa
> > yardim edebilir misiniz?
> >
> > Tesekkurler.
> >
> > --
> > Hseyin Ergn huseyin@su.sabanciuniv.edu
> > Computer Scientist
> > & Engineer Tel:90-216-483 9000 /2320
> >
>