Datum:



      ! "$#&%('*),+-%

Email: [email protected] Datum: 29.2.2004

Jedním z nejčastějších argumentů proti používání Internetu je poukaz na jeho malou bezpečnost. Jak to ale skutečně tak? Je Internet málo bezpečný? Pokud ano, v jakém smyslu je Internet málo bezpečný, a jak dalece to brání jeho praktickému používání pro nejrůznější účely? A existují nějaké možnosti zvýšení bezpečnosti Internetu?

.0/21435/7689 :<;=>359 6@?A;CB@629=EDFHGI:,?J;C?AFHG

Bezpečnost v počítačových sítích je závislá na použité síťové architektuře. Co je to síťová architektura? Síťová architektura je popsána systémem vrstev, služeb, funkcí a protokolů. Většina síťových architektur vychází z normalizovaného referenčního modelu OSI, propojení otevřených systémů. Několik příkladů protokolových architektur:

K K K

TCP/IP - architektura normalizovaná de facto, nejrozšířenější XNS - firemní architektura společnosti Xerox NetWare - firemní architektura společnosti Novell VINES - firemní architektura společnosti Banyan Systems AppleTalk - firemní architektura společnosti Apple Computer DECnet - Digital, OSI , atd.

K K

K LNMHOQPSRTO

Tato architektura je nejrozšířenější, zaměříme se na ni. Když vznikaly protokoly TCP/IP, na kterých dodnes funguje Internet, nikdo nepředpokládal že by lidé potřebovali svěřovat Internetu nějaké důvěrnější informace. Požadavky související s bezpečností, v době vzniku Internetu nikdo nevyžadoval. Byly vyvinuty takové protokoly, které jsou co nejrobustnější (tj. odolné proti nejrůznějším poruchám, výpadkům atd.), a současně fungují co nejefektivněji. Architektura TCP/IP na tom s bezpečností (ochrana informací a dat) tedy moc dobře není. Proto byly vymyšleny určité mechanismy, které bezpečnost „zajišťují“. Nejvíce se používá kódování a šifrování, ale také mechanismy přístupu, řízení směrování atd. Tyto mechanismy poskytují řadu služeb ochrany:

K K

Autorizace, řízení přístupu - umožnění / zamítnutí uživateli přístupu či akce.

K

Důvěrnost dat - zabezpečení přístupu neautorizovaným osobám k datům.

K

Integrita dat - zajištění neporušení dat při přenosu chybou, či úmyslem.

K

Neodmítnutelnost - nezpochybnitelnost autorství různých úkonů (objednávky atd.) Dostupnost - zajištění dostupnosti služeb a informací v sítích.

K Žurnálování (auditing) - sledování akcí uživatelů na síti. U*8V;/W8/4;HBYX5/V1Z35/E689:[;

Dnes se ještě najde mnoho lidí, kteří říkají že Internet není bezpečný, a tudíž pro ně není apriorně použitelný. To je ale špatný přístup k celému problému, který se snaží dívat na bezpečnost jako na

něco absolutního, co buďto je, nebo není. Bezpečnost je ve skutečnosti relativním pojmem, resp. relativní veličinou, která má určitou míru či úroveň, a je na místě se ptát, zda tato míra resp. úroveň je postačující pro účel, který je třeba naplnit, a zda ji případně nelze nějakým způsobem zvýšit. Faktem je, že takto chápaná "míra bezpečnosti" Internetu je relativně nízká - pojďme si nejprve naznačit proč tomu je, v jakém smyslu je tato míra nízká, a pak si popsat kde to vadí a jaké jsou cesty ke zvyšování míry bezpečnosti Internetu.

\]_^&`H]baQcEdfeZg*cZhji7kleZgAdZmnk*]oRpcVgJ]QmqcE]rgAs

O Internetu je všeobecně známo, že původně vzniknul jako vojenský experiment (ve formě zárodečné sítě jménem ARPAnet, ke které se později připojovaly další sítě, až se postupně zrodil dnešní Internet). Zajímavé ale je, co bylo cílem tohoto experimentu: ověřit možnost vybudování takové sítě, která by dokázala přežít i atomový úder nepřítele, a její nezasažené části dokázaly alespoň nějak rozumně fungovat. Tento požadavek se nakonec podařilo naplnit, vybudováním maximálně robustní sítě bez jakýchkoli centrálních prvků (které by nepřítel zajisté odstřelil jako první). Velká robustnost a absence centrálního prvku pak zůstala Internetu až do dnešních dnů, a právě díky těmto vlastnostem Internet dokáže fungovat i v situaci, kdy některé jeho dílčí části mají problémy a jsou mimo provoz. Z pohledu bezpečnosti je ale důležité, že při volbě celé koncepce budoucího Internetu nebyl nastolen explicitní požadavek na výraznější zabezpečení – v době kdy už bouchají bomby by nějaké utajování už stejně nebylo k ničemu. Proto se budoucí Internet zrodil jako síť bez zabudovaných mechanismů zabezpečení. Konkrétním projevem bylo například to, že přenosové mechanismy používané v rámci Internetu (tj. zejména protokol IP na úrovni síťové vrstvy a protokoly transportní vrstvy) se samy nesnaží jakkoli šifrovat, kódovat či jinak zabezpečovat přenášená data proti neoprávněnému odposlechu. S postupem času pak začal Internet přecházet více a více do rukou akademické sféry, která nakonec (kolem roku 1986) převzala od vojáků i financování páteřní části Internetu. Ani akademická sféra však neměla výraznější požadavky na zvýšení míry bezpečnosti Internetu, resp. na zabudování potřebných zabezpečovacích mechanismů do protokolů TCP/IP, které Internet ke svému fungování používá. Přesněji: její požadavky na zvýšení bezpečnosti Internetu nebyly tak vysoké, aby zdůvodnily relativně nákladné a složité změny, které by bylo potřeba provést. Když se pak kolem roku 1990 Internet začal otevírat komerčnímu využití, a jeho otěže začala do svých rukou přebírat komerční sféra, otázky bezpečnosti náhle získaly zcela novou dimenzi: požadavky komerční sféry na míru bezpečnosti Internetu byly samozřejmě výrazně vyšší než dřívější požadavky akademické sféry. Stejně tak se výrazně zvětšila i schopnost komerční sféry investovat potřebné finanční prostředky do Internetu a do zvýšení jeho bezpečnosti. S postupem času se ale začalo stále jasněji ukazovat, že zvýšení bezpečnosti Internetu není až tak technickým problémem: poměrně brzy se objevila hned celá řada možných technických řešení. Problém byl spíše v tom, jakou zvolit celkovou koncepci a strategii zvyšování bezpečnosti, jaká dostupná technická řešení zvolit, jak najít konsensus mezi všemi zainteresovanými stranami o zvoleném řešení, jak ho standardizovat a jak ho prosadit do praxe. Tento proces bohužel není ani dnes zdaleka dokončen.

t7urvE]w^x`]yaN]_c[zy{fc7]bvEdc2]$^wu,v7]_^&`|]Qaj]bc
Jak jsme si již uvedli výše, přenosové mechanismy Internetu nepovažují za svou povinnost starat se o jakékoli zabezpečení dat, která jim byla svěřena k přenosu, tj. samy je nijak nešifrují, nekódují či jinak nezabezpečují proti nežádoucímu odposlechu. Je tomu tedy podobně jako například

u veřejné telefonní sítě, kde je (čistě po technické stránce) také velmi jednoduché odposlouchávat probíhající hovory. Přesto se ale lidé naučili telefony používat, a sami si volit, co svěří relativně málo bezpečnému telefonu a co si sdělí jinou cestou. Podobně tomu může být i s Internetem - také v jeho případě je možné vycházet z faktu, že je nezabezpečenou přenosovou infrastrukturou, a nepřenášet po něm taková data, která by se neměla dostat do cizích rukou. Je ale dobré si uvědomit, co přesně to znamená: je-li potřeba přenést nějaká citlivější a důvěrnější data, je nutné je zabezpečit již na úrovni aplikace, která je produkuje, a k přenosu je předat v již zabezpečeném tvaru. Vlastní přenosové mechanismy Internetu pak mohou zůstat takové jaké jsou (tj. nezabezpečené), a pokud by k nějakému odposlechu přeci jen došlo, neoprávněnému příjemci by odposlechnutá data nebyla k ničemu (protože by mu dalo příliš mnoho práce, než by je dokázal dešifrovat, resp. dekódovat). Alternativní možností by bylo zabudovat příslušné zabezpečovací mechanismy přímo do přenosových sítí. To by ale přineslo mnoho negativních aspektů: například ten, že by nebylo možné zvolit takové řešení, které by vyhovělo všem možným požadavkům na bezpečnost. Požadavky jednotlivých aplikací na míru zabezpečení jsou a vždy budou odlišné - jiné budou například u soukromé pošty a jiné u bankovních transakcí prováděných po Internetu. Ať už by se pro zabezpečující mechanismy zabudované přímo do Internetu zvolila jakákoli míra bezpečnosti, vždy by se našla taková aplikace, které by tato míra nepostačovala, a musela si svou míru bezpečnosti zajišťovat sama, vlastními prostředky. Naproti tomu pro jiné, méně náročné aplikace, by větší míra bezpečnosti představovala zbytečnou režii. Zabudováním zabezpečovacích mechanismů přímo do přenosové infrastruktury Internetu by se také zvýšila složitost celé této infrastruktury, která za svou robustnost a efektivnost vděčí zejména své jednoduchosti. Podstatný by jistě byl i psychologický faktor: pokud by bezpečnost byla zajišťovaná provozovatelem přenosové infrastruktury, zatímco uživatelem (provozovatelem aplikací) by byl někdo jiný, pak by tento uživatel plně vkládal bezpečnost o svá data do rukou někoho jiného. A to není zdaleka každý ochoten udělat. V neposlední řadě by se zabudováním bezpečnostních mechanismů přímo do přenosové infrastruktury Internetu tato infrastruktura výrazně prodražila. V době, kdy se Internet stále rozšiřuje a kdy je tendence budovat přípojky k Internetu například i z jednotlivých domácností, to jde přesně proti žádoucímu snižování nákladů na tyto přípojky.

\]_^&`H]baQcEˆoey‰AsyŠ‹vfŒ`mqdŽRpcEgA]bmScE]yg

Další příčinou relativně nízké míry bezpečnosti dnešního Internetu jsou dosti "důvěřivé" služby, používané v této síti sítí. Některé z nich vůbec nevyžadují žádná hesla či jiné formy ověřování identity a oprávněnosti uživatelů, zatímco jiné ano, ale dělají to dosti naivním způsobem, který je poměrně snadné překonat. Mnoho služeb, které po uživateli požadují zadání hesla, toto heslo přenáší po síti nezakódované, a tedy přesně v takovém tvaru, v jakém jej autor zadal. Není pak příliš těžké takovéto heslo neoprávněně odposlechnout a zneužít. Konkrétním příkladem může být jedna z nejpopulárnějších internetových aplikací, kterou je elektronická pošta. Pro člověka, který alespoň trochu rozumí způsobu fungování el.pošty v Internetu, není větším problémem poslat někomu poštu jménem někoho jiného (například jménem Mikuláše, čerta apod.). Pro možnost zasílání obchodní korespondence elektronickou poštou je něco takového samozřejmě nepřijatelné --zde je zapotřebí zařídit věci tak, aby příjemce měl rozumnou jistotu, že zpráva skutečně pochází od toho, kdo se vydává za jejího odesilatele, a že obsah zprávy nebyl při přenosu jakkoli změněn. Stejně tak příjemce chce mít rozumnou jistotu, že adresát jeho zprávu obdržel, a že třeba někdy později nebude moci tvrdit, že nic takového nedostal. Elektronická pošta v takové podobě, jaká je dnes používaná v Internetu, nic takového nenabízí. Existují sice

různá rozšíření, která potřebné zabezpečení dokáží zajistit, ale zatím nejsou ještě ve stádiu masového rozšíření a nasazení (a neexistuje ani všeobecný konsensus o tom, které řešení by mělo převládnout).

\]_^&`H]baQcEdfeZgQ`Vm~d$r]y‘bi@cfŒj{fc2]bv7d|’&]bcŽ`mqd“c7”b…ZgA]‹m~ˆ7‡

Další službou dnešního Internetu, u které je velmi pociťován nedostatek zabezpečeného fungování, je tolik populární World Wide Web. Zde není žádným problémem prohlásit některé WWW stránky za neveřejné a přístup k nim vázat na zadání správného přístupového hesla. Problém je spíše s přenosem informací mezi WWW servery a jejich klienty, a zejména pak opačným směrem, od klientů (a jejich uživatelů) směrem k WWW serverům. Za standardních okolností tato data cestují po síti v nezabezpečeném tvaru, a jejich případný odposlech tudíž není principiálně obtížný. Pokud takováto data představují konkrétní adresy WWW stránek, které si uživatel přeje zobrazit, žádné nebezpečí nehrozí. Pokud se ale jedná například o číslo kreditní karty, pak může být opravdu zle. Lidé však chtějí využívat službu World Wide Web pro nejrůznější účely, včetně elektronického obchodování, nakupování, provádění finančních transakcí apod., a pro tyto účely je opravdu nutné zvýšit stávající úroveň bezpečnosti, kterou služba World Wide Web vykazuje. V praxi opět existuje několik návrhů a řešení, na kterých si lze názorně ukázat dva možné přístupy k řešení celé problematiky. Prvním možným přístupem je očekávat, že zvýšit míru své bezpečnosti bude potřebovat více aplikací resp. služeb, používaných v rámci Internetu, a že se tudíž vyplatí zabudovat příslušné mechanismy takovým způsobem, aby byly využitelné všemi aplikacemi které o to budou mít zájem (což znamená implementovat je pouze jednou, a začlenit je na vhodné místo do vrstev síťového programového vybavení). Takovýmto řešením je např. koncepce tzv. SSL (Secure Socket Layer), vyvinutá firmou Netscape a podporovaná jejími browsery. Výhodou tohoto přístupu je i skutečnost, že vše se dá zařídit tak, aby se používané aplikace nemusely nějak výrazněji měnit. Zabudované zabezpečovací mechanismy totiž mohou vytvářet jednotlivým aplikacím iluzi toho, že pracují nad takovou přenosovou infrastrukturou, která je již sama zabezpečená a sama se stará o bezpečnost přenášených dat. Nevýhodou je pak skutečnost, že takováto "společná" míra bezpečnosti nemusí všem aplikacím postačovat - ze stejných důvodů, o kterých jsme se již zmiňovali výše. Alternativním přístupem je očekávat, že bezpečnost bude vyžadovat spíše méně aplikací, a že se tudíž vyplatí, aby si každá svou bezpečnost zajišťovala sama, vlastními prostředky (neboli aby potřebné zabezpečovací mechanismy byly implementovány pokaždé znovu, v každé z aplikací která něco takového potřebuje). Zřejmou výhodou je možnost tyto zabezpečovací mechanismy doslova "ušít na míru" příslušným aplikacím, nevýhodou nutnost jisté nadbytečnosti (opakované implementace jednoho a toho samého). Příkladem může být protokol S/HTTP (Secure HTTP), který je rozšířením stávajícího protokolu HTTP (HyperText Transfer Protocol, slouží pro komunikaci mezi WWW serverem a uživatelským browserem) o potřebné zabezpečovací mechanismy. Jiným příkladem může být protokol SET (Secure Electronic Transactions), který je specificky zaměřen na potřeby placení po Internetu, včetně placení pomocí kreditních karet. Jde o řešení, společně vyvinuté velkými firmami v oblasti programového vybavení pro Internet (mj. i firmami Microsoft a Netscape) a společnostmi které se zabývají kreditními kartami (mj. Mastercard i Visa). Pomocí protokolu SET by například mělo být možné přenášet po Internetu údaje o kreditních kartách (v rámci jednotlivých transakcí) v zabezpečeném tvaru, aniž by se platící majitel kreditní karty musel obávat, že se někdo neoprávněný dostane k údajům o jeho kartě a bude moci je zneužít.

•Œ,N‰T]Qc@…buJk„m~],–u,‰†‰T— V dnešní době existuje velké množství nejrůznějších privátních lokálních sítí, které by jejich majitelé rádi připojili i k Internetu a získali tak možnost využívat jeho služeb. Současně se však obávají možnosti narušení svých interních systémů (např. vlastních serverů, databází apod.) někým "zvenčí", z prostředí velkého a nepříliš bezpečného Internetu. Často jsou takovéto obavy zbytečně zveličovány, ale na druhé straně není ani možné je bagatelizovat. V každém případě je vhodné si podrobně rozebrat možná rizika a ohrožení, míru jejich nebezpečnosti a srovnat je s vlastními požadavky, pravidly, předpisy atd. Výsledkem by měla být ucelená představa provozovatele privátní sítě o tom, co je ochoten tolerovat a co naopak není ochoten tolerovat (v praxi se tomu říká "bezpečnostní politika"). Teprve pak by mělo následovat hledání technických možností toho, jak zmíněnou představu (bezpečnostní politiku) prakticky naplnit. V praxi se pak může ukázat například to, že všem požadavkům lze vyhovět pouhými organizačními opatřeními (třeba tím, že lidé nebudou nechávat citlivější data na pevných discích, ale budou je ukládat na diskety a ty zavírat do trezorů). Nebo se může naopak ukázat, po opravdu pečlivém zhodnocení všech požadavků a možností řešení, že jedinou šancí je vůbec se k Internetu nepřipojovat. V praxi je ale mnohem častější případ, kdy požadavkům na zabezpečení privátní sítě proti neoprávněnému přístupu zvenčí lze vyhovět pomocí vhodných opatření a technických řešení, kterých je dnes nabízena celá široká škála. Nejčastěji jde o řešení, kterým se obecně říká firewall (v doslovném překladu: ohnivá stěna, kvůli analogii s protipožárními stěnami, které se budují mezi budovami kvůli tomu, aby v případě požáru zastavily šíření ohně). Firewally mohou být koncipovány a řešeny různými způsoby. V principu ale všechny vychází z myšlenky, kterou lidé již znají a používají opravdu hodně dlouho, a kterou využili například u středověkých hradů: ty byly obehnány hlubokým příkopem, který bránil ve vstupu. Do hradu pak bylo možné vstoupit jedině skrz úzkou bránu, ve které stál hlídač, a každého zájemce o vstup prohlédnul. Přesně stejný princip používají i dnešní firewally: také ony obecně zakazují jakýkoli "volný" přístup do privátní sítě z vnějšího Internetu. Umožňují pouze prostup skrz přesně definované místo (analogii brány), ve které kontrolují oprávněnost každého jednotlivého požadavku (analogie hlídače).

˜0/4;q/™
Někteří lidé se ještě pořád domnívají, že pokusy o průnik do sítě se týkají, jen těch druhých“. Takový omyl může být velice drahý. I ti více opatrní často počítají s tím, že jim firewall poskytne 100% ochranu. I tento omyl se může nepříjemně prodražit. Bezpečnost sítě je komplexní problém a řešení sestává z více komponent – firewall, antivir, VPN, IDS, URL filter, autentikace atd. Firewall představuje první obrannou linii. Jeho úkolem je zakázat podle definovaných pravidel veškerý nechtěný provoz. Firewall řídí přístup, dále pak ověřuje uživatele, často funguje i jako VPN gateway a poskytuje i ochranu před útokem typu odepření služby (DoS – DenialofService).

Obrázek 1: Princip nasazení Firewall a IDS

Statefullinspectionfirewall pracuje na 3. a 4. vrstvě. Firewall typu applicationlevelgateway pracuje na 7. vrstvě, ale s omezením jen pro několik málo aplikací. Řada hackerských útoků se odehrává na aplikační vrstvě a používá techniky, které firewall nedokáže odhalit. To je úkolem IDS – IntrusionDetectionSystem, který představuje druhou obrannou linii (viz Obrázek 1).

L¤Œb`EŒŽ¥7gJdf…,—

Časté je využití známých bezpečnostních chyb, které jsou publikovány na internetu. Často je objeví přímo výrobci nebo organizace zabývající se bezpečností a informují o nich preventivně sami. Dobrým zdrojem těchto informací je www.cert.org . Výrobci na takové chyby zpravidla rychle reagují a uvolňují softwarové patche, které toto riziko odstraní. Ne každý však tyto „záplaty“ implementuje a stačí zapomenout na jeden počítač. Útočníkovi pak stačí převzít kontrolu nad takovým PC a může jej využít ke krádeži dat, přístupu k jiným počítačům v lokální síti nebo k iniciaci DoS útoku. Dalším velice častým mechanismem používaným hackery je buffer overflow útok, česky přetečení zásobníku. Zjednodušeně lze popsat takto. Funkce aplikace očekává při zadávání dat nebo při navazování spojení n Bytů a poté provede skok nebo návrat do paměťového segmentu, kde běží řídící program. Díky softwarové chybě není ošetřen limit počtu Bytů. Útočník pošle do zásobníku

Obrázek 2: Buffer overflow

několikanásobné množství dat, dojde k přetečení zásobníku a ke skoku na adresu např. rizikového kódu. Ten umožní útočníkovi spustit jeho příkazy a převzít kontrolu nad počítačem (viz Obrázek 2). Existují doporučení i nástroje, které mají takové chyby v programech eliminovat. Ale pokud se podíváme na internet na známé bezpečnostní chyby, patří riziko buffer overflow k nejčastějším příkladům známých bezpečnostních chyb. Trojské koně představují příklad útoku založeného na sociálním inženýrství. Útočník například pošle mail s „atraktivní“ přílohou, která skrývá spustitelný program. Kliknutím na přílohu se nebezpečný program spustí a může udělat prakticky cokoliv. Příkladem je virus Anna Kurnikovová nebo různé „pozdravné pohledy“. Specifickou kapitolu představují „průzkumné“ útoky, které tvoří předehru k samotným útokům. Typickým příkladem je tzv. port nebo network scanning. Slouží k ověření, které služby nebo síťové adresy jsou dostupné. Na základě výsledku potom útočník volí další typ útoku. K útokům z lokální sítě patří útoky na druhé, to znamená na linkové vrstvě. Typicky jde o snahu zahltit L2 přepínač tak, aby došlo k naplnění respektive překročení počtu MAC adres v jeho tabulce. Přepínač se potom začne chovat jako hub. Pakety jsou v takovém případě posílány na všechny porty, nejen na ten kde je PC s danou MAC adresou připojeno. Jiným příkladem L2 útoku je útok založený na ARP (Address Resolution Protocol) mechanismu. ARP „mapuje“ MAC na IP adresy.

Útočník „podsune“ svou MAC adresu jiné IP adrese a veškerý provoz je tak směrován na jeho počítač. Poslední typickou skupinou útoků jsou tzv. útoky odepření služby (DoS – Denial of Srevice), jinými slovy útoky hrubou silou. Na danou službu nebo počítač jsou posílány například SYN pakety, tzn. pakety oznamující navázaní nového spojení. Počítač potvrdí přijetí tohoto paketu (SYN-ACK). Pak by měl následovat ACK paket, ten však v tomto případě nepřijde. Web server pak během několika sekund zaznamená několik tisíc nových spojení (SYN flood), které pochopitelně není schopen obsloužit. Tím pádem buď nedokáže odpovídat na požadavky uživatelů a nebo se v horším případě zcela zhroutí. Útoky jsou stále více sofistikované. Často jde o kombinace výše uvedených útoků. Paradoxně se ale lze stále častěji setkat i s opačným extrémem. Díky možnosti najít volně na internetu řadu hackerských nástrojů se zvětšuje počet i „nezkušených“ hackerů, tzv. script kiddies, kteří dokáží i bez velkých znalostí způsobit značné škody.

.0/21435/7689 :<;5=¦žB4;qBX5§1b?AFG

Bezpečnost v databázích probíhá přibližně na stejném principu jako bezpečnost v sítích. Modernější databáze se snaží být nezávislé na OS a nevyužívají žádné z jejich funkcí aby se vyhnuli chyb, které obsahují a používají své vlastní jádro. OS využívají jen ke spuštění. Bezpečnostní mechanismy v komerčních databázích jsou firemním tajemstvím ale ty základní jsou: Autentikace uživatele musí odpovědět na otázku: „Jak mám poznat, že ty jsi ten, za koho se vydáváš?“ Autentikace probíhá tak, že pošlu zkušební text, daná osoba ho zašifruje svým soukromým klíčem (o klíčích níže) a pošle text zpět společně se svým veřejným klíčem. Pokud daný text tímto veřejným klíčem rozšifruji, mám jistotu, že jde o danou osobu.

K

Přístupová práva odpovídají na otázku: „Jak zkontrolovat, že ty máš právo číst či manipulovat s daty v databázi?“ Práva přístupu k databázím jsou řešena vytvořením speciální databáze, kde jsou tato práva uložena pro všechny uživatele. Práva jsou hierarchicky uspořádaná:

¨ ¨ ¨ ¨ ¨ ¨ ¨

Žádný přístup (no access) - absolutně žádný přístup. Depositor - právo vyplňovat nové tabulky, ale ne číst, editovat a mazat. Čtenář (reader) - právo číst, ale ne editovat a mazat. Autor (author) - právo vyplňovat nové tabulky, číst a editovat vlastní tabulky. Editor - právo tvořit, číst a editovat všechny tabulky. Tvůrce (designer) - právo editora a právo modifikace vzhledu databáze. Manažer (manager) - právo tvůrce, právo mazat databázi a právo změnit databázi přístupových práv.

Přístupová práva k jednotlivým tabulkám a polím řeší designer při tvorbě databáze.

K

Replikace databáze, nebo-li synchronizované rozdistribuování jedné databáze na více míst v síti. Každá databáze se skládá ze tří částí: data, vzhled a přístupová práva. Každá z těchto částí se může replikovat zvláště. Replikace se mohou vyvolat ručně nebo se může nastavit termín automatické replikace. Je několik typů replikace. Replikované databáze mohou mít různý název, důležitý je stejný identifikační dokument (ID). Při replikaci se servery spojí (a autentifikují se), zjistí se databáze se stejným ID a provede se replikace buď databáze jako celku nebo na úrovni polí.

©ªl;q/|WSB@;¢«WB

1. Microsoft UDDI Business registry node, [online]. 2003. Dostupný na WWW: 2. UDDI, [online]. 2003. Dostupný na WWW: 3. IBM UDDI, [online]. 2003. Dostupný na WWW: 4. OASIS Web Services, [online]. 2003. Dostupný na WWW: 5. Web Services Architect, [online]. 2003. Dostupný na WWW: 6. Web services, [online]. 2003. Dostupný na WWW: 7. Web Services, [online]. 2004. Dostupný na WWW: 8. Web services, [online]. 2004. Dostupný na WWW: 9. WS-I > > > WELCOME, [online]. 2004. Dostupný na WWW: 10.Velké firmy: Software pro byznys v pohybu, [online]. 2004. Dostupný na WWW: 11.Dynamické webové stránky – PC svět, [online]. 2004. Dostupný na

WWW: 12.Java Technology, [online]. 2004. Dostupný na WWW: 13.Servlets.com, [online]. 2004. Dostupný na WWW: 14.EKONOM.IHNED.CZ, Pavel Ranš [online]. 2002. Dostupný na WWW: 15.Děrgel P., Šeliga M. Metainformační systémy a webové služby [CD-ROM]. In. Sborník z konference GIS Ostrava 2004. In Sborník z konference GIS Ostrava 2004, Ostrava, 2004, ISSN 1213-2454. Dostupný na WWW: 16.Děrgel P., Šeliga M., Hanslian J., Tydlačka R., Stankovič J., Duchoslav T., Szturc R., Růžička J. Metainformační systémy a webové služby - praktická ukázka [online]. In. Sborník z konference GIS Ostrava 2004. 2004. ISSN 1213-239X. Dostupný na WWW: 17.Svět sítí [online]. 2002. Dostupný na WWW: 18.Bezpečnost geodat v GIS [online]. 2002. Dostupný na WWW: