Store Procedures Encriptados

Encriptando un procedimiento almacenado no se consigue mucho, es muy fácil
encontrar el código para desencriptarlos, así que el objetivo de evitar ver
su código no se obtiene...

Si trabajas a partir de la versión 2005, puedes quitar el permiso de ver la
definición del código quitando el permiso VIEW DEFINITION del objeto en
cuestión.

En cualquier caso, una forma de saber si un procedimiento almacenado está
encriptado es consultando la vista de sistema sys.sql_modules: si el campo
definition es NULL, indica que el objeto está encriptado.

"Caminar sobre el agua y desarrollar software a partir de unas
especificaciones es fácil. si ambas están congeladas."
Edward V. Berard, ingeniero informático

http://blogs.solidq.com/es/elrincondeldba

"Duvan" escribió en el mensaje
news:

Hola Buenos Dias:

Tenemos varias Bases de datos en donde existen bastantes store procedures,
descubrimos que algunos de estos no estan encriptados, como son tantos y
la
tarea es bastante dispendiosa ( son casi 200 bases de datos ) , existe
alguna
consulta que se pueda ejecutar por cada una de las bases de datos, donde
nos
muestre cuales store procedure no estan encriptados??

Agradezco la siempre acostumbrada ayuda en este foro.

Hola Carlos, yo no comparto que no sea bueno usar la encriptacion, es un
paso mas, no es ya tan simple ver un store por mas que haya metodos para
hacerlo siempre sera mas dificil que no tenerlo encriptado y de eso se trata
la seguridad, de hacer las cosas mas dificiles para tratar de disminuir los
riesgos.
Ahora que no es un metodo excelente lo comparto, podrian haber utilizado
otro metodo de encriptacion, pero es el mismo que se usa para las password
de login de sql, con lo cual es tan seguro como eso para quienes arman sus
sistemas con este tipo de logins :)



Maxi Accotto
Microsoft MVP en SQL Server
Consultor en SQL Server



"Carlos Sacristan" <nomail> escribió en el mensaje de
noticias:#vOw$#

Encriptando un procedimiento almacenado no se consigue mucho, es muy fácil
encontrar el código para desencriptarlos, así que el objetivo de evitar
ver su código no se obtiene...

Si trabajas a partir de la versión 2005, puedes quitar el permiso de ver
la definición del código quitando el permiso VIEW DEFINITION del objeto en
cuestión.

En cualquier caso, una forma de saber si un procedimiento almacenado está
encriptado es consultando la vista de sistema sys.sql_modules: si el campo
definition es NULL, indica que el objeto está encriptado.

"Caminar sobre el agua y desarrollar software a partir de unas
especificaciones es fácil. si ambas están congeladas."
Edward V. Berard, ingeniero informático

http://blogs.solidq.com/es/elrincondeldba

"Duvan" escribió en el mensaje
news:

Hola Buenos Dias:

Tenemos varias Bases de datos en donde existen bastantes store
procedures,
descubrimos que algunos de estos no estan encriptados, como son tantos y
la
tarea es bastante dispendiosa ( son casi 200 bases de datos ) , existe
alguna
consulta que se pueda ejecutar por cada una de las bases de datos, donde
nos
muestre cuales store procedure no estan encriptados??

Agradezco la siempre acostumbrada ayuda en este foro.

No niego que encriptar los procedimientos sea poner un (pequeño) impedimento
más, pero es que no es más que eso, una pequeña traba muy fácilmente
evitable. No tienes que tener conocimientos, tan sólo es cuestión de buscar
por internet para encontrar miles de páginas que explican cómo
desencriptarlos. Encriptar el procedimiento pensando que con eso tienes el
código seguro me parece un error, y es lo que intento hacer ver en ese
mensaje, indicar que es una mala práctica.

Usar autenticación sql también es una mala práctica, con lo que estaríamos
en un caso parecido al anterior.

"Caminar sobre el agua y desarrollar software a partir de unas
especificaciones es fácil. si ambas están congeladas."
Edward V. Berard, ingeniero informático

http://blogs.solidq.com/es/elrincondeldba

"Maxi" escribió en el mensaje
news:

Hola Carlos, yo no comparto que no sea bueno usar la encriptacion, es un
paso mas, no es ya tan simple ver un store por mas que haya metodos para
hacerlo siempre sera mas dificil que no tenerlo encriptado y de eso se
trata la seguridad, de hacer las cosas mas dificiles para tratar de
disminuir los riesgos.
Ahora que no es un metodo excelente lo comparto, podrian haber utilizado
otro metodo de encriptacion, pero es el mismo que se usa para las password
de login de sql, con lo cual es tan seguro como eso para quienes arman sus
sistemas con este tipo de logins :)



Maxi Accotto
Microsoft MVP en SQL Server
Consultor en SQL Server



"Carlos Sacristan" <nomail> escribió en el mensaje de
noticias:#vOw$#

Encriptando un procedimiento almacenado no se consigue mucho, es muy
fácil encontrar el código para desencriptarlos, así que el objetivo de
evitar ver su código no se obtiene...

Si trabajas a partir de la versión 2005, puedes quitar el permiso de ver
la definición del código quitando el permiso VIEW DEFINITION del objeto
en cuestión.

En cualquier caso, una forma de saber si un procedimiento almacenado está
encriptado es consultando la vista de sistema sys.sql_modules: si el
campo definition es NULL, indica que el objeto está encriptado.

"Caminar sobre el agua y desarrollar software a partir de unas
especificaciones es fácil. si ambas están congeladas."
Edward V. Berard, ingeniero informático

http://blogs.solidq.com/es/elrincondeldba

"Duvan" escribió en el mensaje
news:

Hola Buenos Dias:

Tenemos varias Bases de datos en donde existen bastantes store
procedures,
descubrimos que algunos de estos no estan encriptados, como son tantos y
la
tarea es bastante dispendiosa ( son casi 200 bases de datos ) , existe
alguna
consulta que se pueda ejecutar por cada una de las bases de datos, donde
nos
muestre cuales store procedure no estan encriptados??

Agradezco la siempre acostumbrada ayuda en este foro.

No entiendo la necesidad de cifrar el codigo de 200 bases de datos.



Saludos


Ing. Jose Mariano Alvarez
http://blog.josemarianoalvarez.com/
Microsoft MVP
SQLTotal Consulting

(Cambia los ceros por O y saca lo que sobra)

Este mensaje se proporciona tal como es, SIN GARANTIAS de ninguna clase. Por
favor tratar de indicar la versión de SQL y Service Pack. La inclusión de
(CREATE, INSERTS, etc.) para poder reproducir el problema también ayuda.










"Carlos Sacristan" <nomail> wrote in message
news:#

No niego que encriptar los procedimientos sea poner un (pequeño)
impedimento más, pero es que no es más que eso, una pequeña traba muy
fácilmente evitable. No tienes que tener conocimientos, tan sólo es
cuestión de buscar por internet para encontrar miles de páginas que
explican cómo desencriptarlos. Encriptar el procedimiento pensando que con
eso tienes el código seguro me parece un error, y es lo que intento hacer
ver en ese mensaje, indicar que es una mala práctica.

Usar autenticación sql también es una mala práctica, con lo que estaríamos
en un caso parecido al anterior.

"Caminar sobre el agua y desarrollar software a partir de unas
especificaciones es fácil. si ambas están congeladas."
Edward V. Berard, ingeniero informático

http://blogs.solidq.com/es/elrincondeldba

"Maxi" escribió en el mensaje
news:

Hola Carlos, yo no comparto que no sea bueno usar la encriptacion, es un
paso mas, no es ya tan simple ver un store por mas que haya metodos para
hacerlo siempre sera mas dificil que no tenerlo encriptado y de eso se
trata la seguridad, de hacer las cosas mas dificiles para tratar de
disminuir los riesgos.
Ahora que no es un metodo excelente lo comparto, podrian haber utilizado
otro metodo de encriptacion, pero es el mismo que se usa para las
password de login de sql, con lo cual es tan seguro como eso para quienes
arman sus sistemas con este tipo de logins :)



Maxi Accotto
Microsoft MVP en SQL Server
Consultor en SQL Server



"Carlos Sacristan" <nomail> escribió en el mensaje de
noticias:#vOw$#

Encriptando un procedimiento almacenado no se consigue mucho, es muy
fácil encontrar el código para desencriptarlos, así que el objetivo de
evitar ver su código no se obtiene...

Si trabajas a partir de la versión 2005, puedes quitar el permiso de ver
la definición del código quitando el permiso VIEW DEFINITION del objeto
en cuestión.

En cualquier caso, una forma de saber si un procedimiento almacenado
está encriptado es consultando la vista de sistema sys.sql_modules: si
el campo definition es NULL, indica que el objeto está encriptado.

"Caminar sobre el agua y desarrollar software a partir de unas
especificaciones es fácil. si ambas están congeladas."
Edward V. Berard, ingeniero informático

http://blogs.solidq.com/es/elrincondeldba

"Duvan" escribió en el mensaje
news:

Hola Buenos Dias:

Tenemos varias Bases de datos en donde existen bastantes store
procedures,
descubrimos que algunos de estos no estan encriptados, como son tantos
y la
tarea es bastante dispendiosa ( son casi 200 bases de datos ) , existe
alguna
consulta que se pueda ejecutar por cada una de las bases de datos,
donde nos
muestre cuales store procedure no estan encriptados??

Agradezco la siempre acostumbrada ayuda en este foro.

Hola Carlos :), coincidimos, es un paso nomas, no el mas seguro pero es
mejor que no tenerlo cifrado :)



Maxi Accotto
Microsoft MVP en SQL Server
Consultor en SQL Server



"Carlos Sacristan" <nomail> escribió en el mensaje de
noticias:#

No niego que encriptar los procedimientos sea poner un (pequeño)
impedimento más, pero es que no es más que eso, una pequeña traba muy
fácilmente evitable. No tienes que tener conocimientos, tan sólo es
cuestión de buscar por internet para encontrar miles de páginas que
explican cómo desencriptarlos. Encriptar el procedimiento pensando que con
eso tienes el código seguro me parece un error, y es lo que intento hacer
ver en ese mensaje, indicar que es una mala práctica.

Usar autenticación sql también es una mala práctica, con lo que estaríamos
en un caso parecido al anterior.

"Caminar sobre el agua y desarrollar software a partir de unas
especificaciones es fácil. si ambas están congeladas."
Edward V. Berard, ingeniero informático

http://blogs.solidq.com/es/elrincondeldba

"Maxi" escribió en el mensaje
news:

Hola Carlos, yo no comparto que no sea bueno usar la encriptacion, es un
paso mas, no es ya tan simple ver un store por mas que haya metodos para
hacerlo siempre sera mas dificil que no tenerlo encriptado y de eso se
trata la seguridad, de hacer las cosas mas dificiles para tratar de
disminuir los riesgos.
Ahora que no es un metodo excelente lo comparto, podrian haber utilizado
otro metodo de encriptacion, pero es el mismo que se usa para las
password de login de sql, con lo cual es tan seguro como eso para quienes
arman sus sistemas con este tipo de logins :)



Maxi Accotto
Microsoft MVP en SQL Server
Consultor en SQL Server



"Carlos Sacristan" <nomail> escribió en el mensaje de
noticias:#vOw$#

Encriptando un procedimiento almacenado no se consigue mucho, es muy
fácil encontrar el código para desencriptarlos, así que el objetivo de
evitar ver su código no se obtiene...

Si trabajas a partir de la versión 2005, puedes quitar el permiso de ver
la definición del código quitando el permiso VIEW DEFINITION del objeto
en cuestión.

En cualquier caso, una forma de saber si un procedimiento almacenado
está encriptado es consultando la vista de sistema sys.sql_modules: si
el campo definition es NULL, indica que el objeto está encriptado.

"Caminar sobre el agua y desarrollar software a partir de unas
especificaciones es fácil. si ambas están congeladas."
Edward V. Berard, ingeniero informático

http://blogs.solidq.com/es/elrincondeldba

"Duvan" escribió en el mensaje
news:

Hola Buenos Dias:

Tenemos varias Bases de datos en donde existen bastantes store
procedures,
descubrimos que algunos de estos no estan encriptados, como son tantos
y la
tarea es bastante dispendiosa ( son casi 200 bases de datos ) , existe
alguna
consulta que se pueda ejecutar por cada una de las bases de datos,
donde nos
muestre cuales store procedure no estan encriptados??

Agradezco la siempre acostumbrada ayuda en este foro.