Der Administrator darf alles - Unnötige Rechteabfrage

Begonnen von k00ni, 10. November 2007, 11:48:08

Vorheriges Thema - Nächstes Thema

k00ni

Warum eigentlich?  /uploads/emoticons/icon_e_surprised.gif.a8707b3f35a569cb4cfe563fc72ef78d.gif\" alt=\":-o\" />
Mich wundert folgendes: Ich bin Administrator, kann aber in dem Newsskript nichts schreiben, weil mir dazu die Berechtigung fehlt. Was stört es mich, dann gebe ich sie mir einfach. Möchte ich den Otti ärgern, erlasse ich ihm den Zugang zum Artikelsystem komplett und er wundert sich beim nächsten Besuch.
Versteht ihr, was ich meine? Es ist als Administrator egal, wo du nicht hinkommst oder wo doch. Wenn man irgendwo nicht reinkommt, dann holt man sich einfach den Zugang. Ich würde dies gleich so umstellen, dass nur bei Nicht-Administratoren geprüft wird, ob sie Zugang haben. Bei Admins kann ich mir das sparen, da sie sich selbst Zugang holen, wenn sie ihn wollen.
Und seien wir doch mal ehrlich. Verbotenes macht geil, also versuche ich da auch rein zu kommen /uploads/emoticons/icon_e_wink.gif.3167d127940f44558fbf1ccd9b6d60a9.gif\" alt=\";-)\" />

Warum eigentlich?[/quote]
Frag deinen Dozenten. Er wird dir bestätigen, dass es schlaue Leute gab, die bereits in den Siebzigern das \"Principle of least privilege\" (auch \"principle of least authority\") formuliert haben. Genau genommen waren es die Herren Saltzer und Schroeder:
Every program and every user of the system should operate using the least set of privileges necessary to complete the job.[/quote].(The protection of information in computer systems, 1974)
Ich bin Administrator, kann aber in dem Newsskript nichts schreiben, weil mir dazu die Berechtigung fehlt.[/quote]
Der Administrator benötigt, genau wie der User, nur eine bestimmte Authorität um seine Aufgaben zu erfüllen. Dazu gehört im Falle des Administrators keine Schreibrechte und im Falle des Users keine Administrationsrechte.
Was stört es mich, dann gebe ich sie mir einfach.[/quote]
Korrekt wäre, sich auszuloggen und sich als User neu einzuloggen und vice versa.
Möchte ich den Otti ärgern, erlasse ich ihm den Zugang zum Artikelsystem komplett und er wundert sich beim nächsten Besuch.[/quote]
Du hast offensichtlich zu viele Privilegien.
Wenn man irgendwo nicht reinkommt, dann holt man sich einfach den Zugang.[/quote]
Sowas nennt man \"privilege escalation\". In diesem Falle aus Bequemlichkeit.
Ich würde dies gleich so umstellen, dass nur bei Nicht-Administratoren geprüft wird, ob sie Zugang haben. Bei Admins kann ich mir das sparen, da sie sich selbst Zugang holen, wenn sie ihn wollen.[/quote]
Warum nicht mal andersrum: Man verfeinert das Rechtesystem soweit, dass es gar keinen Ubergott, aka Administrator, mehr gibt und führt stattdessen Zugriffsrechte auf Funktionen ein. So kann jeder User genau die Funktionen erhalten, die er für seine Tätigkeit braucht.

all your base are belong to us / Discord