|
InNell'ambito campo didella [[sicurezza informatica]], il '''Discretionarydiscretionary Accessaccess control''' Control('''DAC)''') è un tipo di controllo d'accesso definito dalla [[:en:Trusted_Computer_System_Evaluation_Criteria|Trusted Computer System Evaluation Criteria]]<ref>
{{Cita libro|titolo=Trusted Computer System Evaluation Criteria|editore=United States Department of Defense|lingua=en|data=December 1985|url=http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html|cid= DoD Standard 5200.28-STD|urlmorto=sì|urlarchivio=https://web.archive.org/web/20060527214348/http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html|dataarchivio=27 maggio 2006}}</ref> "come una forma per limitare l'accesso a contenuto appartenente a soggetti e/o gruppi. I controlli sono discrezionali in quanto un soggetto con un determinato permesso d'accesso riesce a trasmettere questi permessi a qualsiasi altro soggetto ( a meno che questo non sia coperto da una restrizione del [[Mandatory Access Control |mandatory access control)]] )". ▼{{Cita libro|titolo= Trusted Computer System Evaluation Criteria
|editore= United States Department of Defense
|data= December 1985
|url= http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html
|cid= DoD Standard 5200.28-STD
|urlmorto= yes
|urlarchivio= https://web.archive.org/web/20060527214348/http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html
|dataarchivio= 27 maggio 2006
▲ }}</ref> "come una forma per limitare l'accesso a contenuto appartenente a soggetti e/o gruppi. I controlli sono discrezionali in quanto un soggetto con un determinato permesso d'accesso riesce a trasmettere questi permessi a qualsiasi altro soggetto ( a meno che questo non sia coperto da una restrizione del [[Mandatory Access Control|mandatory access control)]]".
Il ''Discretionary Access Control'' è generalmente contrapposto al ''mandatoryMandatory accessAccess controlControl'' (MAC, chiamato anche ''nonNon-discretionaryDiscretionary accessAccess controlControl''). Talvolta si dice che un sistema nel suo complesso abbia un controllo d’accesso “discrezionale”"discrezionale" o “prettamente"prettamente discrezionale”discrezionale" riferendosi alla mancanza del mandatoryMandatory accessAccess controlControl. D’altra parte, un sistema può presentare simultaneamente sia MAC che DAC, dove con DAC ci si riferisce all’accesso a risorse che i soggetti possono trasferirsi a vicenda, invecementre con MAC ci si riferisce a una seconda categoria di controllo d’accessod'accesso che impone dei vincoli alla prima.
== Implementazioni ==
Il significato del termine dato dal TCSEC non è molto chiaro, in quanto la definizione del ''Discretionary Access Control'' della TCSEC non imponedefinisce uncome concettorealizzare d’esecuzioneil DAC. Ci sono almeno due tipi di d'implementazione: con il proprietario (come modello più esteso) e con le competenze.
'''<bigspan style="font-size: 120%;">Con il proprietario</bigspan>'''
Il termine DASDAC è comunemente usato in contesti che presuppongono che ogni oggetto abbia un proprietario che controlli il permesso d’accessod'accesso all’oggettoall'oggetto, probabilmente perché alcuni sistemi applicano il DAC usando l’impostazionel'impostazione del proprietario. Eppure, la definizione del TCSEC non dice nulla sui proprietari, quindi tecnicamente un sistema di controllo d’accessod'accesso non necessita un’impostazioneun'impostazione del proprietario secondo la definizione del DAC della TCSEC.
I proprietari, grazie a l’esecuzioneall'esecuzione del DAC, hanno il potere di creare decisioni sulle politiche e/o designare caratteristiche di sicurezza. Un modello chiaro è l’l'[[:en:Filesystem_permissions#Traditional_Unix_permissions|Unix file mode]], che rappresenta scrittura, lettura ed esecuzione in ognuna delle 3 parti per ciascun Utente, Gruppo e Altri. (è simulato da un’altraun'altra parte che indica le caratteristiche aggiuntive).
'''<bigspan style="font-size: 120%;">Con le competenze</bigspan>'''
Un altro esempio sonoè ifornito dai sistemi di capacità che dellea volte vengono descritti come fornitori di controlli discrezionali, dato che permettono ai soggetti di trasferire i loro accessi ad altri soggetti, nonostante la sicurezza basata sulla capacità non si riferisca principalmente sull’accessosull'accesso ristretto “all’identità“all'identità del soggetto” ( il sistema di capacità, generalmente, non permette che le autorizzazioneautorizzazioni siano trasferite “da"da un soggetto all’altro”all’altro"; il soggetto che attende di averricevere approvato l’autorizzazionel'autorizzazione deve prima poter accedere alla risorsa, e il soggetto generalmente non deve avere accesso a tutte le risorse nel sistema).
== Voci CorrelateNote ==
<references/>
== Bibliografia ==
* P. A. Loscocco, S. D. Smalley, P. A. Muckelbauer, R. C. Taylor, S. J. Turner, and J. F. Farrell. ''[https://web.archive.org/web/20070621155813/http://jya.com/paperF1.htm The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments]''. In Proceedings of the 21st National Information Systems Security Conference, pp. 303–14, Oct. 1998. [http://csrc.nist.gov/nissc/1998/proceedings/paperF1.pdf PDF version]. ▼
== Voci correlate ==
* [[Lista di controllo degli accessi]]
* [[Mandatory Access Control]]
* [[XACML]]
== Note ==
▲* P. A. Loscocco, S. D. Smalley, P. A. Muckelbauer, R. C. Taylor, S. J. Turner, and J. F. Farrell. ''[https://web.archive.org/web/20070621155813/http://jya.com/paperF1.htm The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments]''. In Proceedings of the 21st National Information Systems Security Conference, pp. 303–14, Oct. 1998. [http://csrc.nist.gov/nissc/1998/proceedings/paperF1.pdf PDF version].
{{Portale|sicurezza informatica}}
[[Categoria:SicurezzaControllo degli accessi (informatica)]]
| 