Bei Heise.de wurde ich heute auf die "Firewall" für Datenbanken von Oracle aufmerksam. Offenbar soll man sich damit gegen SQL-Injection- und andere Angriffe schützen können: "verdächtige" SQL-Befehle können abgefangen und durch andere (z.B. mit garantiert leerer Ergebnismenge) ersetzt werden.

In dem Whitepaper "Oracle Database Firewall" werden Details beschrieben. So sind drei Arten von Reaktion auf verdächtige Befehle möglich (O-Ton Oracle):

  • Block the SQL statement
  • Modify the request using SQL statement substitution
  • Alert on all out of policy SQL statements, in addition to blocking or in lieu of

Das ist eine nette Idee. Ich bin mal gespannt, ob sich das durchsetzt. Leider ist absolute Sicherheit bei Systemen nur sehr schwer machbar, daher wird diese Art der Firewall schon eine signifikante Verbesserung ausmachen. Aber sind die Firmen bereit den Aufwand und die Kosten nur für die Sicherheit zu erbringen?

Auf der Seite Oracle Database Firewall – First Line of Defense for Databases werden die bisher unterstützten Systeme beschrieben:

  • Oracle Database 11g
  • IBM DB2 for Linux, UNIX and Windows (versions 9.x)
  • Microsoft SQL Server 2000, 2005 and 2008
  • Sybase Adaptive Server Enterprise (ASE) (versions 12.5.4 to 15)
  • Sybase SQL Anywhere V10

Komischerweise wird mit MySQL das neue "Flagschiff" bei Oracle nicht unterstützt. Dabei wurde das System doch kürzlich erst von Oracle besonders für kommerzielle Anwendungen ausgestattet. 😉