it-swarm.com.de

Unterschied zwischen Privileg und Erlaubnis

Ich bin ein wenig verwirrt über die kontextuellen Unterschiede zwischen Berechtigung und Berechtigung aus Sicht der Computersicherheit. Obwohl ich die Definition beider Begriffe gelesen habe, ist es schön, wenn mir jemand ein praktisches Beispiel geben kann, z.

User A can read write file X 

Was ist in diesem Fall Privileg und Erlaubnis?

28
Ali Ahmad

In der Computersicherheit werden sie synonym verwendet.

Im Zusammenhang mit Rechten impliziert die Erlaubnis die Zustimmung eines Einzelnen oder einer Gruppe zur Durchführung einer Aktion. Privileg ist eine Erlaubnis, die einer Person oder Gruppe erteilt wird. Berechtigungen werden verwendet, um zwischen verschiedenen erteilten Berechtigungen zu unterscheiden (einschließlich keiner Berechtigung).

Ein Privileg ist eine Berechtigung zum Ausführen einer Aktion.

Auch über den obigen english.se Link

Eine Berechtigung ist eine Eigenschaft eines Objekts, z. B. einer Datei. Darin steht, welche Agenten das Objekt verwenden dürfen und was sie tun dürfen (lesen, ändern usw.).

Ein Privileg ist eine Eigenschaft eines Agenten, z. B. eines Benutzers. Damit kann der Agent Dinge tun, die normalerweise nicht erlaubt sind. Beispielsweise gibt es Berechtigungen, mit denen ein Agent auf ein Objekt zugreifen kann, auf das er nicht zugreifen darf, und Berechtigungen, mit denen ein Agent Wartungsfunktionen wie den Neustart des Computers ausführen kann.

In Ihrem Beispiel hat das Privileg die Berechtigung, die Datei 'x' zu schreiben.

32
NULLZ

Sie sind normalerweise ziemlich austauschbar, obwohl ich einige Systeme gehört habe, bei denen die Berechtigung das ist, was eine Aktion erfordert, und das Privileg das ist, was der Benutzer hat. Einem Benutzer wird möglicherweise ein Privileg gewährt, das der angeforderten Berechtigung entspricht. Dies ist jedoch die Semantik einiger Systeme und nicht immer der Fall.

In beiden Fällen handelt es sich normalerweise eher um einen semantischen Unterschied, es sei denn, Sie haben eine spezifischere Situation, in der Sie Probleme haben.

10
AJ Henderson

ja, sie unterscheiden sich geringfügig (jedoch nur, wenn Sie die rollenbasierte Zugriffssteuerung (RBAC) vollständig modellieren):

betrachten Sie ein ER-Modell für die rollenbasierte Autorisierung:

  • eine Anwendung hat Funktionen
  • funktionen können von Rollen ausgeführt werden
  • identitäten erhalten Rollen
  • einzelpersonen werden mit Identitäten versehen

wenn wir das ein wenig zusammenfassen, können wir sagen: + Eine Person (die eine Online-Identität hat), die eine Rolle ausführt, erhält die Erlaubnis, Funktionen in Anwendungen auszuführen

Damit:

  • das Berechtigung ist die ER-Verbindung zwischen der Rolle, Funktion und Anwendung, d. h. Berechtigungen werden für Rollen erteilt
  • das Privileg ist die ER-Verbindung zwischen einer Person und der Anwendung, d. h. Privilegien werden an Personen vergeben.

Viele Designer kümmern sich jedoch nicht darum, Einzelperson und Rolle zu trennen oder Funktion und Anwendung nicht zu trennen, sodass der Unterschied zwischen Privilegien und Berechtigungen übersehen wird. Nach meiner Erfahrung sieht man dies oft, wenn jemand sagt "Verwenden Sie AD-Gruppen zum Speichern von RBAC" - dies ist ein ernstes Anti-Muster.

In einer Welt, in der es erforderlich ist, über toxische Kombinationen zu berichten, und granulare Genehmigungen häufiger vorkommen, ist das Datenmodell für die Speicherung von RBAC sehr viel wichtiger .

7
Callum Wilson

Im Gespräch sind die beiden, wie viele Antworten gesagt haben, normalerweise austauschbar.

Einige der möglichen kontextuellen Unterschiede zwischen den beiden, wie sie von verschiedenen Computerumgebungen verwendet werden, sind in den Konnotationen der beiden Wörter enthalten.

  • Eine Erlaubnis wird angefordert, ein Privileg wird gewährt. Wenn Sie über die Konversationsverwendung der beiden Wörter nachdenken, die "proaktive" Verwendung einer Erlaubnis (die erste Aktion, die normalerweise von einem Subjekt in einem Satz ausgeführt wird innerhalb eines Kontextes) ist danach zu fragen; Die "reaktive" Verwendung (die zweite Maßnahme, die als Reaktion auf die erste ergriffen wird) besteht darin, sie zu gewähren. Im Gegensatz dazu besteht die proaktive Nutzung eines Privilegs darin, es zu gewähren, während die reaktive Nutzung darin besteht, es auszuüben .

  • Berechtigungen sind situationsabhängig; Berechtigungen sind zeitbasiert. Die Konnotation der beiden Begriffe lautet wiederum, dass Berechtigungen jedes Mal angefordert und erteilt werden müssen, wenn Sie die Aktion ausführen, und ob dies der Fall ist gewährt wird, kann dann auf den Umständen der Situation basieren. Ein Privileg bezieht sich jedoch auf eine bestimmte Handlung, von der das Subjekt weiß, dass es sie ausführen darf, da es einmal darüber informiert wurde, dass es diese Sache tun darf, und das Subjekt dies dann tut, ohne dies ausdrücklich zu fragen, bis es dies tut sagte, sie können dieses Ding nicht mehr tun.

In der Regel bestimmen Berechtigungen, wie sie in der IT-Sicherheit verwendet werden, die Berechtigungen. Einem Benutzer wird, obwohl sein Konto, vom Administrator eines Systems das Privileg eingeräumt, einen bestimmten Datensatztyp (oder einen bestimmten Datensatz) zu lesen. Dies erfolgt normalerweise einmal oder nach Bedarf im Laufe der Zeit. Die Anwendung, die im Namen des Benutzers handelt, der sich über das Konto authentifiziert hat, bittet dann um Erlaubnis , jedes Mal eine Aktion auszuführen Das System gewährt diese Berechtigung in jeder Situation, nachdem die Berechtigungen des Benutzers überprüft wurden.

5
KeithS

Ich bin neugierig, was genau ist Ihrer Meinung nach der kontextbezogene Unterschied zwischen den beiden?

Ich habe beide Begriffe austauschbar gesehen (und verwendet). Ich habe noch nie jemanden gesehen, der zwischen den beiden Begriffen unterschieden hat. Beide beziehen sich darauf, ob jemand das Recht hat, eine bestimmte Aktion auszuführen.

2
user10211

Berechtigungen werden fast immer im Zusammenhang mit Systemaktionen und -fähigkeiten des Benutzers in Bezug auf nicht objektspezifische Aufgaben verwendet und beziehen sich häufig auf Interaktionen mit dem System oder der Anwendung selbst. * Hinzufügen/Entfernen von Benutzerkonten. * Hardware-Geräte hinzufügen/entfernen. * Installieren Sie Anwendungen.

Berechtigungen werden (im Allgemeinen) im Kontext von Dateisystemen (oder Objekten, die als Teil des Dateisystems bezeichnet werden, wie z. B. das Verzeichnis/dev in * nix) verwendet. Sie richten eine Liste mit Berechtigungen für ein Objekt (eine Datei) ein, die bestimmt, was bestimmte Personen mit diesem Objekt tun können.

Im Allgemeinen ist es die Kombination von Berechtigungen und Berechtigungen, die den Gesamtzugriff einer Person auf ein System bestimmt. Wenn ich beispielsweise die Berechtigung habe, auf eine bestimmte Datei auf einem Windows-System zuzugreifen, aber nicht die Berechtigung habe, mich lokal oder über das Netzwerk bei diesem System anzumelden, kann ich trotz der ACL der Datei nicht darauf zugreifen (Access Control List) sagt, dass ich kann.

2
James Brandon