一个不合理的地方

显示全部楼层 · 2006-4-18 13:25:09

9.2.0.1中system（DBA）可以用其他普通用用户作任意操作,而那个用户却全然不知.
第一步
以system/manager用户登录
SQL>select username,password from dba_users where username='FORYOU1';
username
password
FORYOU1
11367185CAA27740
第二步
SQL>alter user foryou1 identified by foryou1;
User altered
然后system用户就可以任意使用foryou1账号.
第三步
SQL>alter user foryou1 identified by values '
11367185CAA27740'
User altered

SQL>select username,password from dba_users where username='FORYOU1';
username
password
FORYOU1
11367185CAA27740

昏 manager(DBA)用foryou1做的操作，foryou1一点都不知道

千问 · 2006-4-18 13:25:09

公开的密码

千问 · 2006-4-18 13:25:09

楼上的一段程序好像演示了DBA修改不同用户口令的操作
这个难道只是在这个版本才有的吗？
DBA连删除用户都可以，难道修改口令还不可以吗

千问 · 2006-4-18 13:25:09

继续...
好的还有个问题
如果system用户通过这种方式修改sys的密码你觉得安全么

千问 · 2006-4-18 13:25:09

这就要靠DBA去制订安全策略了，oracle提供了这些丰富的功能，但是oracle却不知道你修改密码是恶意的还是正常的，这是要靠人去完善的

千问 · 2006-4-18 13:25:09

从程序员角度理解 “system用户通过这种方式修改sys的密码” 是不合理的
Oracle怎么没有做这方面的控制

千问 · 2006-4-18 13:25:09

最初由 foreverlee 发布
[B]从程序员角度理解 “system用户通过这种方式修改sys的密码” 是不合理的
Oracle怎么没有做这方面的控制 [/B]
你可以把SYSTEM给LOCK上。
安全是由人制定/控制/管理的，并非软件/程序。
指望程序来管理好，这是很低水平的思维。

千问 · 2006-4-18 13:25:09

昏你没命白我问题.
人当然是可以自定义一个用户安全策略的.