it-swarm.dev

Differenza tra privilegio e autorizzazione

Sono un po 'confuso sulle differenze contestuali tra autorizzazione e privilegio dal punto di vista della sicurezza del computer. Anche se ho letto la definizione di entrambi i termini, ma sarà bello se qualcuno può darmi qualche esempio pratico, ad es.

User A can read write file X 

Che cos'è il privilegio e l'autorizzazione in questo caso?

28
Ali Ahmad

Nella sicurezza del computer, vengono utilizzati in modo intercambiabile.

Nel contesto dei diritti, l'autorizzazione implica il consenso dato a qualsiasi individuo o gruppo per eseguire un'azione. Il privilegio è un'autorizzazione concessa a un individuo o un gruppo. I privilegi vengono utilizzati per distinguere tra diverse autorizzazioni concesse (inclusa nessuna autorizzazione).

Un privilegio è un'autorizzazione per eseguire un'azione.

Anche dal link english.se sopra

Un'autorizzazione è una proprietà di un oggetto, ad esempio un file. Indica quali agenti sono autorizzati a utilizzare l'oggetto e cosa sono autorizzati a fare (leggerlo, modificarlo, ecc.).

Un privilegio è una proprietà di un agente, ad esempio un utente. Permette all'agente di fare cose che non sono normalmente consentite. Ad esempio, vi sono privilegi che consentono a un agente di accedere a un oggetto a cui non dispone dell'autorizzazione e privilegi che consentono a un agente di eseguire funzioni di manutenzione come riavviare il computer.

Quindi nel tuo esempio il privilegio è avere il permesso di scrivere il file 'x'

32
NULLZ

Di solito sono piuttosto intercambiabili, anche se ho sentito alcuni sistemi in cui l'autorizzazione è la cosa richiesta da un'azione e il privilegio è ciò che l'utente ha. Quindi a un utente potrebbe essere concesso un privilegio che corrisponde all'autorizzazione richiesta, ma sarebbe davvero una semantica di alcuni sistemi e non è sempre il caso.

Ad ogni modo, a meno che tu non abbia una situazione più specifica in cui ti sta causando problemi, normalmente è più una differenza semantica.

10
AJ Henderson

sì, sono leggermente diversi (ma solo se si sta modellando completamente il controllo di accesso basato sui ruoli (RBAC)):

considerare un modello ER per l'autorizzazione basata sui ruoli:

  • un'applicazione ha funzioni
  • le funzioni possono essere eseguite da ruoli
  • alle identità vengono assegnati ruoli
  • agli individui vengono fornite identità

unendo un po 'tutto ciò, possiamo dire: + un individuo (che ha un'identità online), svolgere un ruolo ha il permesso di eseguire funzioni nelle applicazioni

Così:

  • permesso è il collegamento ER tra ruolo, funzione e applicazione, ovvero le autorizzazioni sono assegnate ai ruoli
  • privilegio è il collegamento ER tra un individuo e l'applicazione, ovvero i privilegi sono assegnati alle persone.

TUTTAVIA, molti designer non si preoccupano di separare individuo e ruolo o non separano funzione e applicazione e quindi manca la differenza tra privilegio e autorizzazione. Nella mia esperienza, lo vedi spesso quando qualcuno dice "usa i gruppi AD per archiviare RBAC" - questo è un serio anti-schema.

In un mondo in cui vi sono requisiti per riferire su combinazioni tossiche e l'autorizzazione granulare è un luogo più comune rispetto al modello di dati per la memorizzazione di RBAC è molto più importante .

7
Callum Wilson

Nella conversazione, come hanno detto molte risposte, i due sono in genere intercambiabili.

Alcune delle possibili differenze contestuali tra i due utilizzate da vari ambienti informatici sono inerenti alle connotazioni delle due parole.

  • Viene richiesta un'autorizzazione, viene concesso un privilegio. Quando si pensa all'uso conversazionale delle due parole, l'uso "proattivo" di un'autorizzazione (la prima azione tipicamente intrapresa da qualsiasi soggetto in una frase in un contesto) è chiederlo; l'uso "reattivo" (la seconda azione intrapresa in risposta alla prima) è di concederlo. Al contrario, l'uso proattivo di un privilegio è di concederlo, mentre l'uso reattivo è di esercitarlo .

  • Le autorizzazioni sono basate sulla situazione; i privilegi sono basati sul tempo. Ancora una volta, la connotazione dei due termini è che l'autorizzazione è qualcosa che deve essere richiesta e concessa ogni volta che si esegue l'azione e se è concesso può quindi essere basato sulle circostanze della situazione. Un privilegio, tuttavia, è riguardo ad alcune azioni specifiche che il soggetto sa di essere autorizzato a fare, perché sono state informate una volta che possono fare questa cosa, e quindi il soggetto procede a farlo senza chiedere espressamente, fino a quando non lo sono hanno detto che non possono più fare questa cosa.

Quindi, in genere, come utilizzati nella sicurezza IT, i privilegi determinano le autorizzazioni. A un utente, nonostante il suo account, viene concesso il privilegio di leggere un particolare tipo di record (o un particolare record) dall'amministratore di un sistema; questo viene in genere eseguito una volta o secondo necessità nel tempo. L'applicazione, che agisce per conto dell'utente che si è autenticato utilizzando l'account, chiede quindi l'autorizzazione per eseguire un'azione ogni volta che deve fare così, e il sistema concede questa autorizzazione in ogni situazione dopo aver esaminato i privilegi dell'utente.

5
KeithS

Sono curioso, quale pensi esattamente sia la differenza contestuale tra i due?

Ho visto (e usato) entrambi i termini in modo intercambiabile. Non ho mai visto nessuno distinguere tra i due termini prima d'ora. Entrambi si riferiscono al fatto che qualcuno abbia i diritti per eseguire una determinata azione.

2
user10211

Il privilegio viene quasi sempre utilizzato nel contesto di azioni e abilità del sistema dell'utente in relazione ad attività non specifiche dell'oggetto e fa spesso riferimento a interazioni con il sistema o l'applicazione stessa. * Aggiungi/rimuovi account utente. * Aggiungi/rimuovi dispositivi hardware. * Installa applicazioni.

Le autorizzazioni sono (generalmente) usate nel contesto di filesystem (o oggetti a cui si fa riferimento come parte del filesystem come la directory/dev in * nix). Verrà impostato un elenco di autorizzazioni su un oggetto (file) che determina cosa possono fare persone specifiche per quell'oggetto.

È generalmente la combinazione di privilegi e autorizzazioni che determina l'accesso generale di qualcuno a un sistema. Se ho l'autorizzazione per accedere a un file specifico su un sistema Windows, ad esempio, ma non ho i privilegi per accedere a questo sistema localmente o attraverso la rete, allora non posso effettivamente accedervi, anche se l'ACL del file (Elenco controllo accessi) dice che posso.

2
James Brandon