Protezione dei generatori di dati
Aggiornamento: novembre 2007
I piani di generazione dati e i generatori di dati personalizzati sono progettati per essere condivisi in un ambiente di team. Prima di condividere file di generazione dati, è necessario valutare i possibili rischi per la protezione.
Di seguito sono elencati i problemi di protezione associati all'utilizzo di generatori di dati:
I file di generazione dati contengono informazioni sullo schema.
I piani di generazione dati sono vulnerabili a inserimenti di codice Transact-SQL (T-SQL) arbitrario in query del generatore associato ai dati.
I generatori di dati personalizzati contengono le informazioni di connessione al database.
I generatori di dati personalizzati sono vulnerabili a inserimenti di codice arbitrario.
I programmi di installazione dei generatori di dati personalizzati sono vulnerabili a inserimenti di codice arbitrario.
Piani di generazione dati e informazioni sullo schema
Quando si crea un piano di generazione dati, il file con estensione dgen contiene lo schema delle tabelle. Le informazioni sullo schema del database possono essere considerate un segreto commerciale riservato. L'utente con cui si condivide un file con estensione dgen può infatti visualizzare lo schema.
Condividere piani di generazione dati solo con fonti attendibili.
Piani di generazione dati e malware
Quando un piano di generazione dati contiene un generatore associato a dati, viene scritta una query T-SQL eseguita durante l'esecuzione del piano. In tal modo viene consentita l'esecuzione di codice T-SQL arbitrario in un piano di generazione dati.
Verificare che i piani di generazione dati provengano da fonti attendibili e avvertire gli utenti finali di non eseguire piani di generazione dati ricevuti da fonti non attendibili.
Generatori di dati personalizzati e informazioni di connessione
Tutti i generatori di dati personalizzati accedono alla stringa di connessione al database in fase di esecuzione. Un generatore personalizzato dannoso potrebbe esporre le informazioni sulla stringa di connessione.
Verificare che i generatori di dati personalizzati provengano da fonti attendibili e avvertire gli utenti finali di non utilizzare generatori di dati personalizzati ricevuti da fonti non attendibili.
Generatori di dati personalizzati e malware
I generatori di dati personalizzati sono classi che possono contenere codice arbitrario. Un generatore di dati personalizzato viene eseguito con le stesse autorizzazioni dell'utente attivo. È quindi possibile che venga eseguito codice dannoso in modalità FullTrust.
Verificare che i generatori di dati personalizzati provengano da fonti attendibili e avvertire gli utenti finali di non utilizzare generatori di dati personalizzati ricevuti da fonti non attendibili.
Programmi di installazione di generatori di dati personalizzati e malware
È possibile creare progetti di distribuzione per installare generatori di dati personalizzati. Tali progetti possono tuttavia contenere codice arbitrario. Un programma di installazione di un generatore di dati personalizzati viene eseguito con privilegi di livello superiore. È quindi possibile che venga eseguito codice dannoso con privilegi di livello superiore.
Verificare che i programmi di installazione dei generatori di dati personalizzati provengano da fonti attendibili e avvertire gli utenti finali di non eseguire programmi di installazione di generatori di dati personalizzati ricevuti da fonti non attendibili.
Vedere anche
Concetti
Cenni preliminari sulla extensibility dei generatori di dati
Altre risorse
Generazione di dati con i generatori di dati
Cenni preliminari sulla generazione di dati