Estoy un poco confundido con respecto a las diferencias contextuales entre el permiso y el privilegio desde la perspectiva de la seguridad informática. Aunque he leído la definición de ambos términos, sería bueno que alguien me diera un ejemplo práctico, por ejemplo,
User A can read write file X
¿Qué es el privilegio y el permiso en este caso?
En seguridad informática, se usan indistintamente.
En el contexto de los derechos, el permiso implica el consentimiento otorgado a cualquier Individuo o grupo para realizar una acción. El privilegio es un permiso. Entregado a un individuo o grupo. Los privilegios se utilizan para distinguir entre diferentes permisos otorgados (incluyendo sin permiso).
Un privilegio es un permiso para realizar una acción.
También desde el enlace de english.se anterior
Un permiso es una propiedad de un objeto, como un archivo. Dice cual a los agentes se les permite usar el objeto, y lo que se les permite hacer (leerlo, modificarlo, etc.).
Un privilegio es una propiedad de un agente, como un usuario. Deja la El agente hace cosas que normalmente no están permitidas. Por ejemplo, hay Son privilegios que le permiten a un agente acceder a un objeto que sí lo hace. no tiene permiso de acceso y privilegios que le permiten a un agente realizar funciones de mantenimiento como reiniciar la computadora.
Entonces, en su ejemplo, el privilegio es tener el permiso para escribir el archivo 'x'
Normalmente son bastante intercambiables, aunque he escuchado algunos sistemas donde el permiso es lo que exige una acción y el privilegio es lo que tiene el usuario. Por lo tanto, a un usuario se le puede otorgar un privilegio que corresponde al permiso que se solicita, pero eso sería realmente la semántica de algunos sistemas y no siempre es el caso.
De cualquier manera, a menos que tenga una situación más específica en la que le esté causando problemas, normalmente es más una diferencia semántica.
sí, son sutilmente diferentes (pero solo si está modelando completamente el Control de acceso basado en roles (RBAC)):
considere un modelo ER para la autorización basada en roles:
uniendo eso un poco, podemos decir: A un individuo (que tiene una identidad en línea), se le otorga permiso para desempeñar una función para realizar funciones en aplicaciones
Entonces:
SIN EMBARGO, muchos diseñadores no se molestan en separar el individuo y el rol o no separan la función y la aplicación, por lo que se pierde la diferencia entre privilegio y permiso. En mi experiencia, a menudo se ve esto cuando alguien dice "usar grupos de AD para almacenar RBAC"; este es un antipatrón serio.
En un mundo donde existen requisitos para informar sobre combinaciones tóxicas y el permiso granular es más común que el modelo de datos para almacenar RBAC es mucho más importante.
En la conversación, como han dicho muchas respuestas, las dos son típicamente intercambiables.
Algunas de las posibles diferencias contextuales entre los dos utilizados por diversos entornos informáticos son inherentes a las connotaciones de las dos palabras.
Se solicita un permiso, se otorga un privilegio. Cuando piensa en el uso conversacional de las dos palabras, el uso "proactivo" de un permiso (la primera acción que generalmente se realiza por cualquier tema en una oración dentro de un contexto) es pedirlo; el uso "reactivo" (la segunda acción tomada en respuesta a la primera) es otorgarla. Por el contrario, el uso proactivo de un privilegio es otorgarlo, mientras que el uso reactivo es ejercerlo .
Los permisos se basan en la situación; Los privilegios se basan en el tiempo. De nuevo, la connotación de los dos términos es que el permiso es algo que debe solicitarse y otorgarse cada vez que realice la acción, y si se otorga puede basarse en las circunstancias. de la situación. Sin embargo, un privilegio es en relación con alguna acción específica que el sujeto sabe que se les permite hacer, porque una vez se les ha informado que pueden hacer esto, y luego el sujeto procede a hacerlo sin preguntar específicamente, hasta que están dijeron que ya no pueden hacer esto.
Por lo general, como se usa en la seguridad de TI, los privilegios determinan los permisos. A un usuario, a pesar de su cuenta, se le otorga el privilegio de leer un tipo particular de registro (o un registro particular) por el administrador de un sistema; Esto normalmente se hace una vez, o según sea necesario con el tiempo. La aplicación, actuando en nombre del usuario que se ha autenticado usando la cuenta, luego solicita permiso para realizar una acción cada vez que debe hacerlo, y el sistema otorga este permiso en cada situación. después de examinar los privilegios del usuario.
Tengo curiosidad, ¿cuál es exactamente la diferencia contextual entre los dos?
He visto (y usado) ambos términos de manera intercambiable. Nunca he visto a nadie hacer una distinción entre los dos términos antes. Ambos se refieren a si alguien tiene los derechos para realizar una acción en particular.
El privilegio casi siempre se usa en el contexto de las acciones y capacidades del sistema del usuario en relación con tareas no específicas del objeto y con frecuencia se refiere a las interacciones con el sistema o la aplicación en sí. * Añadir / eliminar cuentas de usuario. * Agregar / eliminar dispositivos de hardware. * Instalar aplicaciones.
Los permisos se usan (generalmente) en el contexto de sistemas de archivos (u objetos a los que se hace referencia como parte del sistema de archivos, como el directorio / dev en * nix). Configurará una lista de permisos en un objeto (archivo) que determina qué personas específicas pueden hacer con ese objeto.
En general, es la combinación de privilegios y permisos lo que determina el acceso general de una persona a un sistema. Si tengo permiso para acceder a un archivo específico en un sistema Windows, por ejemplo, pero no tengo los privilegios para iniciar sesión en este sistema localmente o a través de la red, entonces no puedo acceder a él, aunque la ACL del archivo (Lista de control de acceso) dice que puedo.
Lea otras preguntas en las etiquetas access-control permissions terminology