Внешние полномочия

Внешние полномочия — это термин, используемый при изучении систем контроля доступа.

Определение

Говорят, что субъект, например, компьютерная программа, использует внешние полномочия, если для успешного выполнения разрешенного действия ему достаточно указать имена задействованных объектов и операцию, которую необходимо над ними выполнить^[1][2][3].

В этом определении ,

• «имя» — любой способ ссылки на объект, который сам по себе не содержит информации об авторизации и потенциально может использоваться любым субъектом;
• действие является «разрешенным» для субъекта, если существует какой-либо запрос, который этот субъект может сделать и который приведет к выполнению этого действия

Полномочия являются «внешними» в том смысле, что они существуют в широко видимой среде (часто, но не обязательно, в глобальной среде), где любой субъект может запросить их по имени.

Пример

Например, представим, что C программа открывает файл для чтения путём выполнения :

 open("filename", O_RDONLY, 0)

Желаемый файл обозначается своим именем в файловой системе, которое само по себе не содержит информации об авторизации, поэтому программа использует внешнюю авторизацию.

Использование

Когда запрашиваются внешние полномочия, права доступа предоставляются или отклоняются, исходя из одного или нескольких общих свойств программы, например, её идентификатора или роли. В таких ситуациях управление доступом осуществляется отдельно от явного взаимодействия с программой или процессом, Это может быть реализовано через списки управления доступом aсвязанные с объектами, или через механизмы управления доступом на основе ролей . Сама программа не имеет возможности воплотить^[англ.] разрешения в самостоятельные объекты первого класса. Поэтому, если программе требуется доступ к объекту при выполнении собственных задач, но не при действии от имени клиента (или от имени одного клиента, но не другого), она не может выразить такое намерение. Это неизбежно приводит к возникновению проблемы обманутого посредника.

Термин «внешние полномочия» используется в основном для противопоставления с основанной на полномочиях безопасности (включая модель объектных полномочий^[англ.]), где выполняющиеся программы получают разрешения так же, как они могут получать данные, через ссылки на объекты первого класса. Это позволяет им определять источник разрешений и, таким образом, избегать проблемы «обманутого посредника». Однако, поскольку для системы, считающейся системой полномочий, существуют дополнительные требования помимо отсутствия внешних полномочий, «система без внешних полномочий» не является просто синонимом «системы полномочий».

Внешние полномочия являются доминирующим видом управления доступом в компьютерах нашего времени. Модель управления пользовательского доступа, что используется в системах Unix и Windows является моделью внешних полномочий, поскольку программы выполняются с правами пользователя, запустившего их. Это означает не только то, что выполняющимся программам неизбежно предоставляется больше разрешений (см. принцип минимальных привилегий), чем им необходимо для выполнения задачи, но и то, что они не могут определить источник, количество и типы имеющихся у них разрешений^[4]. Программа, выполняющаяся в рамках модели контроля доступа с внешними привилегиями, практически не имеет выбора, кроме как назначать разрешения и пытаться их использовать, надеясь на лучшее. Это свойство требует предоставления избыточных разрешений пользователям или ролям, чтобы программы могли выполняться без ошибок.