Discretionary access control: differenze tra le versioni

Il significato del termine dato dal TCSEC non è molto chiaro, in quanto la definizione del ''Discretionary Access Control'' della TCSEC non impone un concetto d'esecuzione. Ci sono almeno due tipi d'implementazione: con il proprietario (come modello più esteso) e con le competenze.

 

 

Il termine DAC è comunemente usato in contesti che presuppongono che ogni oggetto abbia un proprietario che controlli il permesso d'accesso all'oggetto, probabilmente perché alcuni sistemi applicano il DAC usando l'impostazione del proprietario. Eppure, la definizione del TCSEC non dice nulla sui proprietari, quindi tecnicamente un sistema di controllo d'accesso non necessita un'impostazione del proprietario secondo la definizione del DAC della TCSEC.

I proprietari, grazie all'esecuzione del DAC, hanno il potere di creare decisioni sulle politiche e/o designare caratteristiche di sicurezza. Un modello chiaro è l'[[:en:Filesystem_permissions#Traditional_Unix_permissions|Unix file mode]], che rappresenta scrittura, lettura ed esecuzione in ognuna delle 3 parti per ciascun Utente, Gruppo e Altri (è simulato da un'altra parte che indica le caratteristiche aggiuntive).

 

 

Un altro esempio è fornito dai sistemi di capacità che a volte vengono descritti come fornitori di controlli discrezionali, dato che permettono ai soggetti di trasferire i loro accessi ad altri soggetti, nonostante la sicurezza basata sulla capacità non si riferisca principalmente sull'accesso ristretto “all'identità del soggetto” (il sistema di capacità, generalmente, non permette che le autorizzazioni siano trasferite "da un soggetto all’altro"; il soggetto che attende di ricevere l'autorizzazione deve prima poter accedere alla risorsa, e il soggetto generalmente non deve avere accesso a tutte le risorse nel sistema).