Απογραφή Εργαζομένων

Βοήθεια λύσεις και νέα από τον χώρο των open source ή έτοιμων εφαρμογών που έχουν φτιαχτεί με την PHP όπως oscommerce, κ.α.

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
Άβαταρ μέλους
verylife
Δημοσιεύσεις: 26
Εγγραφή: 29 Νοέμ 2003 13:34
Τοποθεσία: Athens
Επικοινωνία:

Απογραφή Εργαζομένων

Δημοσίευση από verylife » 13 Ιαν 2006 09:34

Θέλω να κανώ μια υλοποίηση για να μπορεσω να απογραψω τους εργαζομενους στην εταιρεια μου αλλα και στα υποκαταστηματα. Φυσικα θα εχει αναζητησεις, εκτυπωση φορμα υπαλληλου και αλλα κλασικα καλουδια. Φυσικα logon access για να μπαινει ο καθενας εκει μεσα μιας και θα ειναι στο intranet...

Ετσι αυτο που ζηταω ειναι αν ξερεις κανεις καμια ετοιμη λυση για την απογραφη, μεχρι τωρα εχω κανει την υλοποιηση σε access αλλα δεν μας καλυπτει τελικα γιατι υπαρχει προβλημα ασφαλειας...

Ειμαι ανοιχτος σε προτασεις, ευχαριστω για το χρονο σας

Άβαταρ μέλους
dva_dev
Script Master
Δημοσιεύσεις: 3790
Εγγραφή: 16 Σεπ 2005 01:32
Επικοινωνία:

Απογραφή Εργαζομένων

Δημοσίευση από dva_dev » 13 Ιαν 2006 14:19

Πριν προσωρήσεις σε κάποια έτοιμη λύση έχεις εντοπίσει που βρίσκονται τα κενά ασφάλειας (ώστε να μπορείς να δεις αν και η έτοιμη λύση - που θα επιλέξεις τελικά - τα καλύπτει ή έχει επίσης τα ίδια προβλήματα);

Καλό θα ήταν να έχεις καταγράψει κάπου όλα τα σημεία που θέλεις να διασφαλίσεις (δεδομένα, διαδικασίες, χρήστες, κ.λπ).

Άβαταρ μέλους
verylife
Δημοσιεύσεις: 26
Εγγραφή: 29 Νοέμ 2003 13:34
Τοποθεσία: Athens
Επικοινωνία:

Απογραφή Εργαζομένων

Δημοσίευση από verylife » 13 Ιαν 2006 17:47

Θελουμε τελικα την κλασικη υλοποιηση ασφαλειας δηλαδη ο χρηστης δεν θα μπορει να κανει τιποτα αλλο περα απο το εισαγει και να διαγραφει τα δικα του δεδομενα του. Ο manager θα εχει δικαιωματα εισαγωγης διαγραφης στα της ομαδας του (group) και ο Γ. Διευθυντης θα εισαγει και θα διαγραφει τα παντα πλην των χρηστων και των ομαδων. Ενω ο Admin θα μπορει να κανει τα πανταααα.
αυτα εχω στο μυαλο μου

Άβαταρ μέλους
dva_dev
Script Master
Δημοσιεύσεις: 3790
Εγγραφή: 16 Σεπ 2005 01:32
Επικοινωνία:

Απογραφή Εργαζομένων

Δημοσίευση από dva_dev » 13 Ιαν 2006 21:24

Πολύ γρήγορα απάντησες οπότε πιστεύω ότι δεν το σκέφηκες αρκετά... :wink:
Θελουμε τελικα την κλασικη υλοποιηση ασφαλειας
Δεν υπάρχει κλασσική υλοποίηση ασφάλειας. Το κάθε σύστημα πάει να καλύψει συγκεκριμένες ανάγκες.
δηλαδη ο χρηστης δεν θα μπορει να κανει τιποτα αλλο περα απο το εισαγει και να διαγραφει τα δικα του δεδομενα του.
Δηλαδή ούτε preview ούτε εκτύπωση ούτε edit?

Αν έχεις δύο χρήστες user1, user2 που ανήκουν στην ίδια ομάδα group1 κάτω από τον manager1, οι οποίοι έχουν τα ίδια δικαιώματα να γράφουν στον ίδιο πίνακα table1, ο user1 θα μπορεί ή όχι να πειράξει εγγραφές που έχει κάνει ο user2; Θα μπορεί να τις δεί και να τις εκτυπώσει ή όχι;
Ο manager θα εχει δικαιωματα εισαγωγης διαγραφης στα της ομαδας του (group) και ο Γ. Διευθυντης θα εισαγει και θα διαγραφει τα παντα πλην των χρηστων και των ομαδων.
Ποιός θα ορίζει αυτά τα δικαιώματα (ας πούμε σε επίπεδο χρηστών); Ο manager? ο διευθυντής? ο αdministrator?
Γενικά, μέχρι ποιό επίπεδο θα μπορεί να πειράζει ο καθένας τα δικαιώματα?
Ενω ο Admin θα μπορει να κανει τα πανταααα.
Θα μπορεί ο admin να σβήσει εγγραφές που έχει κάνει κάποιος χρήστης; Θα καταγράφεται κάπου ότι ο userX (admin, manager, user) έχει σβήσει την τάδε εγγραφή που έχει καταχωρήσει κάποιος ή όχι;

Οταν δίνονται ή αλλάζουν τα δικαιώματα που έχει κάποιος θα καταγράφεται ότι έχει δωθεί το Χ δικαίωματα στον user από τον admin/manager?
αυτα εχω στο μυαλο μου
Το να τα έχεις στο μυαλό σου η γνώμη μου είναι ότι δεν φτάνει. Αν τα καταγράψεις θα δεις ότι θα βγούν κι άλλα πράγματα στη φόρα.
Αφού τα έχεις καταγεγραμένα όλα θα μπορέσεις μετά να τα βάλεις σε μια σειρά ανάλογα με το πόσο κρίσιμα είναι για σένα.
Και στο κάτω κάτω αν τα έχεις καταγεγραμένα θα δεις και αν μπορείς να τα υλοποιήσεις μόνος σου ή όχι. Αν καταλήξεις ότι δεν μπορείς ή δεν έχεις το χρόνο, και κοιτάξεις κάποια έτοιμη λύση, θα τα έχεις στη διάθεση σου για να κρίνεις αν η έτοιμη λύση τα καλύπτει ή όχι.

Το πιο βασικό στοιχείο σε θέματα ασφάλειας κατά τη γνώμη μου είναι η ύπαρξη log (καταγραφή των ενεργειών που εκτελούνται). Χωρίς αυτό δεν μπορείς να ξέρεις αν έχεις αφήσει κάποια τρύπα ανοιχτή, και αν πάει κάτι στραβά, δεν έχεις κάποιο στοιχείο για το τι πήγε και από ποιά τρύπα πέρασε.
Σκέψου να πάει κάποιος χρήστης και να καταχωρήσει όλες τις εγγραφές, και μετά (κατά λάθος χωρίς να το προσέξει να πάει ο διευθυντής και να τις σβήσει όλες). Αντε μετά ο χρήστης να αποδείξει στον manager ότι δεν είναι ελέφαντας.

Ξαναδέστο λίγο το θέμα ασφάλειας από την αρχή, όσο πιο λεπτομερή καταγραφή κάνεις για το τι θέλεις τόσο το καλύτερο θα είναι.

Απάντηση

Επιστροφή στο “PHP έτοιμες εφαρμογές”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης