Obtener la hora del servidor en un cliente windows

Alfredo

El servicio mas protegudo es el que no expongo.
Como todo aquello que expongo en internet esta potencialmente expuesto a un
ataque, si no expongo algo estrictamente necesario estoy en un ambito mas
seguro.

Si no preguntale a todos los que sufrieron esto:

Descargue el Service Pack 3a (SP3a) de SQL Server 2000, la actualización más
reciente y completa de SQL Server 2000 que corrige vulnerabilidades como el
virus Slammer (W32.slammer).

Luego decis:

Depende del éxito del ataque, si entran a una cuenta con pocos
privilegios no podrán hacer muchas cosas. Y las bases de datos
internas no tienen por que estar en el mismo servidor que las de las
aplicaciones expuestas en internet.

No se en tu Pais, en el mio el hardware es caro como para sobre dimensionar
infraestructura. :))

También decis:

Tiene que ver con las dos cosas, y si el DBA no sabe hacer su trabajo
entonces habría que despedirlo.

Seguramente un DBA experimentado no estará de acuerdo con exponer un mssql
sobre internet, consecuencia, no tendremos que despedirlo. :))

Po otra parte:

La protección de los datos al exponer un sql sobre internet no tiene que
ver
con la calidad del motor, tiene que ver con que el administrado, el
bendito
DBA tenga conocimientos en buenas prácticas y seguridad.

Bueno si el DBS tiene conocimientos de buenas practicas, ni siquiera hace
falta que sepa de seguridad, no expondra un rdbms sobe internet. :))

Luego:

Por ejemplo .NET Remoting me parece poco seguro, no creo que me
costase mucho trabajo colapsar a un servidor que lo use.

No expondría remoting sobre internet tampoco..., pero, seguramente no nos
vamos a poner de acuerdo. :))

Saludos

Daniel A. Calvin
Cooperator Team Member
http://www.cooperator.com.ar
Microsoft Certified Professional


"Alfredo Novoa" escribió en el mensaje
news:

On Mon, 16 Apr 2007 20:52:42 -0300, "Daniel A. Calvin - Cooperator
Team" wrote:

Si te atacan con exito un mssql seguramente eso afectara amuchas
aplicaciones las expuestas sobre internet y las internas.

Depende del éxito del ataque, si entran a una cuenta con pocos
privilegios no podrán hacer muchas cosas. Y las bases de datos
internas no tienen por que estar en el mismo servidor que las de las
aplicaciones expuestas en internet.

La protección de los datos al exponer un sql sobre internet no tiene que
ver
con la calidad del motor, tiene que ver con que el administrado, el
bendito
DBA tenga conocimientos en buenas prácticas y seguridad.

Tiene que ver con las dos cosas, y si el DBA no sabe hacer su trabajo
entonces habría que despedirlo.

Tal como vos decis un web service escrito por un programador inexperto es
mas factible a ser vulnerado que un sql server, pero tambien es cierto que
el riesgo potencial de daño es menor, el atacante no tiene total acceso al
servidor de datos si te encuentra una falla en el ws. ( aunque
potencialmente es posible )

Y el atacante tampoco tiene acceso total al SGBD si encuentra una
clave de un usuario limitado.

Por ejemplo podríamos impedir que alguien se conecte como
administrador desde internet y muchas cosas más para aumentar la
seguridad sin tener que gastar un montón de tiempo en escribir Web
Services que también pueden ser vulnerables.

Por ejemplo .NET Remoting me parece poco seguro, no creo que me
costase mucho trabajo colapsar a un servidor que lo use.


Saludos

On Wed, 18 Apr 2007 20:51:56 -0300, "Daniel A. Calvin - Cooperator
Team" wrote:

El servicio mas protegudo es el que no expongo.
Como todo aquello que expongo en internet esta potencialmente expuesto a un
ataque, si no expongo algo estrictamente necesario estoy en un ambito mas
seguro.

Estarás segurísimo pero si no expones lo estrictamente necesario los
programas no funcionan :-)

Al final algo tendrás que exponer, y si está bien hecho no dará
problemas.

Si no preguntale a todos los que sufrieron esto:

Descargue el Service Pack 3a (SP3a) de SQL Server 2000, la actualización más
reciente y completa de SQL Server 2000 que corrige vulnerabilidades como el
virus Slammer (W32.slammer).

Acabas de decir que la calidad del SGBD no tiene nada que ver. Además
SQL Server 2000 es del año de la castaña.

No se en tu Pais, en el mio el hardware es caro como para sobre dimensionar
infraestructura. :))

En el mio pasa todo lo contrario.

Seguramente un DBA experimentado no estará de acuerdo con exponer un mssql
sobre internet, consecuencia, no tendremos que despedirlo. :))

¿Tan inseguro es?

Bueno si el DBS tiene conocimientos de buenas practicas, ni siquiera hace
falta que sepa de seguridad, no expondra un rdbms sobe internet. :))

Puede tener conocimientos de las supuestas buenas prácticas esas y
pensar que son una tontería.

http://msdn2.microsoft.com/es-es/practices/default(en-us).aspx

Por ejemplo .NET Remoting me parece poco seguro, no creo que me
costase mucho trabajo colapsar a un servidor que lo use.

No expondría remoting sobre internet tampoco..., pero, seguramente no nos
vamos a poner de acuerdo. :))

Ya, al final tu no expones nada :)


Saludos

Hola,
Considero totalmente que Daniel Calvin tiene la razon, con el criterio
de Alfredo habria que exponer todo el SQL. Esto puede ser que sea mas
dificel de penetrar que exponer un webservice propio, pero con la gran
desventaja que si alguien hace un brute force o logra entrar en el sql
server muy probablemente estes perdido. En cambio si haces un web
services usando WSE y alguien logra hackearlo va a poder hacer menos
cosas.
Si estas usando sql2000 y alguien logra entrar con sa considera que
tenes que tirar todo el servidor a la basura.
En cambio si expones un web service es imposible que el atacante haga
algunas cosas como un sp_xpexec (o como se llame) o un DROP de una
tabla.

Saludos,
Diego

Recien puedo ingresar; y la solución que le estoy dando es grabar por ejemplo
las fechas de proceso de los registros (FechaCreacion) con GETDATE() en su
procedimiento, y cuando deseo mostrar la fecha de emisión de un ticket un
WebService; por ahora el sistema funciona en una intranet.

Gracias por sus respuestas.

Saludos

Víctor