Bir güvenlik riskinin ne kadarı kavramsal şema yayınlanmaktadır?

Araştırmam için bir devlet kurumunun bilgi sisteminden kavramsal şemalar talep ediyordum. Güvenlik riski olduğu gerekçesiyle talebim reddedildi.

Gerçekten kapsamlı bir veritabanı deneyimim yok, bu yüzden bu iddiayı doğrulayamıyorum. Şemanızı ifşa etmek gerçekten bir güvenlik riski kadar mı? Yani, bunlar oldukça soyut ve donanım ve yazılım uygulamalarından ayrılıyor. Bir saldırganın kavramsal şemalardan nasıl faydalanabileceğine ilişkin bir açıklama takdir edilecektir. Teşekkürler.

Gbn (yani +1) ile anlaştı, ancak bence iki olasılık daha var:

1. Kavramsal şemalarının fiziksel şemaları ile çok fazla örtüşmesi mümkündür. Tablo adlarını bilmek, SQL enjeksiyon saldırılarınızı planlamada size iyi bir başlangıç ​​yapmanızı sağlar.

2. Muhtemelen kavramsal şemaları belgelenmemiştir. Programcıların kendi veritabanlarını tasarlamalarına izin veren kuruluşların genellikle veritabanı tasarım süreçlerinde herhangi bir titizlikleri yoktur ve ilk tasarım olmadan doğrudan fiziksel uygulamaya geçerler. Bunu kabul etmek istemeyebilirler ya da hiç var olmayan kavramsal bir belgeyi yeniden oluşturma zamanına ve sorununa gitmek istemeyebilirler.

Edit: OP kavramsal şemaları için sorulan kuruluşun bir devlet kurumu olduğunu yorumladı. Bu aklıma bir başka olasılık daha ekliyor:

Memurlar risk alma sevgileriyle bilinmemektedir ve bu nedenle bir hükümet departmanındaki orta düzey bir görevlinin, birinin hiyerarşisini daha fazla ilgilendirmesi veya dikkatini çekmesi durumunda boynunu tutturması ve bilgi yayınlaması olası değildir. .

Hala # 2'nin en muhtemel olduğunu düşünüyorum.

Bunun Fikri Mülkiyet riski olduğunu söyleyebilirim ama bunu söylemek istemediler

Gizli bilgilerin ardındaki kavramsal şemanın da gizli tutulması gerektiğine tamamen katılıyorum.

Casuslar bir şekilde çatlaklardan kaçan çok az bilgi toplarlarsa, hala bu topakları bağlama bağlamında sorun olmaya devam eder. Kavramsal şema bağlamı sağlar. Toplanan tidbitlerin şekli ve içeriği, veri tabanındaki verilerin biçiminden ve içeriğinden büyük ölçüde farklı olabilir, ancak concpetual şeması, öğelerin kodunun çözülmesi için mükemmel bir kılavuz sağlar.

Şirketler için veri kurtarma üzerinde çalışırken, her zaman güvenilir bir kavramsal şemanın altın madeni olduğunu düşündüm. Elbette, bu projeler casusluk içermiyordu. Ancak aynı analizin nasıl gerçekleştiğini kolayca görebilir.

Birçok satıcı veritabanı şemalarını göğsüne yakın tutmaya çalışır. Sık sık, veri bütünlüğü eksikliği veya açıkçası kötü veritabanı tasarımı gibi kirli küçük sırlarını bir kapak tutmakla ilgilidir. Diğer nedenler:

• Birçok yazılım ürünü, kötü tasarlanmış veritabanı şemalarına sahiptir.

• İş yükünü desteklememe arzusu.

• Müşterileri, sistem entegrasyon çalışmaları için danışmanlık hizmetleri almaya zorlamaya çalışır.

• Müşterilerin rakiplerin ürünlerine geçmesini engellemek için çıkış maliyetlerini en üst düzeye çıkarma arzusu.

Ne yazık ki müşteri için çalışmıyorsunuz, ancak siz olsaydınız, yazılımın hangi mimari kusurlara sahip olduğunu sorgulamak için bir argüman kullanabilirsiniz, böylece veritabanı şemasını ortaya çıkarmak bir güvenlik riski olabilir.