Microsoft Office Access
uređuje Branislav Mihaljev, MVP

Bezbednost baze u Accessu 2007

Nivo:
NIVO 2 - Među ovim prilozima se nalaze preporuke koje se uglavnom odnose na bolje snalaženje i efikasniji rad: dodatni trikovi koji će biti svakom od pomoći i koji upućuju na prag napredne upotrebe programa.

Access 2007 ima ograničene mogućnosti zaštite baze; neki bi rekli čak i da su one siromašnije od prethodne verzije. Pojedine korisnike baze u radnoj grupi možete držati dalje od baze podataka tako što ćete je zaštititi lozinkom, ali ne i više od toga: ne postoji način da za pojedinačnog korisnika definišete objekte koje može i koje ne može pokrenuti.

Kod baza podataka deljenih između kolega u lokalnoj mreži, razni korisnici čine različite stvari sa podacima. Najlakši način da držite korisnike pod kontrolom je taj da svakom od njih, u zavisnosti od onoga što želite da im dozvolite da čine, iskopirate različitu verziju frontend baze podataka. Iz svake verzije ćete ukloniti nepotrebne objekte kako biste dodatno obezbedili bazu od naprednih korisnika koji mogu zaobići jednostavne sisteme zaštite i pokrenuti objekte koje ne bi trebalo.

Kada pravite Access aplikaciju, morate misliti na više stvari. Pre svega morate imati na umu namenu Accessa i njegove mogućnosti, a zatim se opredeliti za to da li ćete aplikaciju koristiti u lokalnoj mreži za praćenje poslovnih procesa. Uvek držite na umu da Access nije prava klijent-server baza podataka, da brzina rada i broj korisnika zavisi dobrim delom od brzine mreže i da je zaštita implementirana samo na osnovnom nivou.

Zaštita baze lozinkom je vrlo jednostavna. Učitaćete bazu u Exclusive režimu i dodeliti lozinku bazi. Od tog momenta ćete morati uneti lozinku po svakom učitavanju programa ili baze podataka. Zaštita lozinkom menja sastav baze, jer se prema toj šifri baza kriptuje, čime se sadržaj obezbeđuje čak i od naprednih korisnika koji ni sa različitim alatkama neće moći da pročitaju sadržaj. U prethodnoj verziji baze podataka, u MDB formatu, postojala je alatka za definisanje korisnika i radnih grupa. Access generiše zasebnu datoteku sa svim nalozima i lozinkama u kojoj se čuvaju sva podešavanja za svakog korisnika ili grupu ponaosob. Čini se da je ovakva zaštita naspram zaštite na nivou datoteke bolja, ali implementacija je pokazala da zaštita i nije baš sasvim pouzdana. Metode za zaobilaženje ovakve zaštite je lako pronaći na Internetu. O bilo kojoj verziji da govorimo, obe vrste zaštita su zadovoljavale namenu jer programeri Access baza podataka nikada nisu imali na umu odbranu od naprednih hakera; dovoljno je bilo samo to da se prosečan korisnik drži pod kontrolom.

Ako se pitate zašto je ovakva zaštita ukinuta, iako se često koristila, evo odgovora: Microsoft je u procesu planiranja osobina novog Accessa posvetio povećanu pažnju bezbednosti podataka, a kako prethodna zaštita nije bila baš sasvim sigurna, ona je i uklonjena. S druge strane, korisnicima je dostupna ograničena i besplatna verzija SQL Servera u kojoj su već implementirane daleko bolje metode zaštite. Zaštite na nivou korisnika i radnih grupa i dalje možete koristiti ako formirate bazu podataka u starom MDB formatu. Preporuka je da zadržite format MDB kada različiti korisnici imaju različite verzije Accessa, ali da svakako koristite novi ACCDB format kad god je to moguće, jer samo onda možete koristiti neke od novih funkcija zbog čega je, uostalom, novi Access i napravljen.

Da sumiramo: zaštita novog ACCDB formata baze lozinkom je sada mnogo bolja. Access 2007 kodira sadržaj baze podataka prema lozinki, za razliku od prethodne verzije, gde je uklanjanje lozinke upotrebom nekih od programa ove namene bilo veoma jednostavno. Čitanje sadržaja baze podataka kodirane lozinkom je, barem za sada, gotovo nemoguće (nalik pristupu sadržaju kodirane arhive u ZIP formatu).

Postavljanje lozinke je veoma lako: otvorite bazu u Exclusive režimu, pređite na karticu Database Tools, a zatim odaberite opciju Encrypt with Password.

U odabiru lozinke, vodite se savetima koji važe kod odabira dobrih lozinki. Ne koristite obične reči; pogotovo izbegavajte reči engleskog jezika, da biste osigurali bazu od eventualnih napada programa koji koriste brute force metod. Uvek kombinujte simbole i brojeve sa velikim i malim slovima.

Očigledno je kako lozinke funkcionišu na nivou jedinstvene baze podataka. Nad bazom koja je podeljena na frontend i backend, zaštita lozinkom se sprovodi unekoliko drugačije. Logično je da ćete u ovom slučaju štititi deo sa podacima (backend). Ostali objekti baze podataka manje-više nisu za sada toliko bitni. Uostalom, frontend se štiti na druge načine, npr. kompajliranjem baze podataka.

Postoji jedan mali, ali zgodan sistemski trik kod deljenja baze na deo sa podacima i na deo sa korisničkim interfejsom: kada god upotrebite lozinku u korisničkom interfejsu koji je povezan sa tabelama, Access će lozinku sačuvati u delu baze koji predstavlja korisnički interfejs. To znači da dok god koristite odgovarajući frontend za rad sa podacima, nećete morati da unosite lozinku; pokušate li da direktno učitate bazu podataka sa podacima, moraćete da unesete lozinku.

Nasuprot dosadne zaštite od izvršavanja VBA programa, koju smatramo nepotrebnom, ovakvo olakšanje pozdravljamo. Nameće se logičko pitanje: šta onda sprečava bilo koga da upotrebom korisničkog interfejsa pristupi podacima? Praktično – ništa, osim ako ne postavite različitu lozinku na frontend. Sada su oba dela baze podataka zaštićena, ali opet morate unositi lozinku za svako pokretanje programa.

Važan savet koji morate zapamtiti: lozinku nad bazom podataka postavite pre nego što podelite bazu na frontend i backend. U suprotnom, Access neće sačuvati lozinku u frontend delu i praktično će biti nemoguć rad sa pridruženim tabelama i podacima backend dela baze.

Uvek morate znati na čemu ste: ovakva zaštita nije savršena, ali je dovoljno dobra. Čak i kada postoji potreba da razni korisnici pristupaju samo određenim podacima, backend deo možete dodatno podeliti i svakom delu dodeliti drugačiju lozinku, ali isto tako morate voditi računa koju verziju frontend dela će imati svaki od korisnika. To dodatno komplikuje administriranje, odnosno razvoj novijih verzija. Međutim, ponekad nemate mnogo izbora.

Podsećamo vas da jednostavnu zaštitu na nivou datoteke možete angažovati u Windows sistemu datoteka. Backend baza se po pravilu nalazi u deljenom folderu kome različiti korisnici pristupaju kroz mrežu. Na kartici dozvola pristupa (Permissions) možete uključiti ili isključiti pojedina prava za svakog korisnika. Ova zaštita svakako nije napravljena da funkcioniše za Access tako da, ako vam je zaštita podataka apsolutni prioritet, valja da razmislite o SQL serveru. Besplatna verzija ovog sistema za upravljanje bazama podataka, iako sadrži određena ograničenja, sasvim je dovoljna da ispitate njene osobine i mogućnosti.

Ovaj prilog možete komentarisati ako pristupite najavi priloga na blogu Praktikuma na Webu