Protecting databases from schema disclosure: a CRUD-based protection model

Database schemas, in many organizations, are considered one of the critical assets to be protected. From database schemas, it is not only possible to infer the information being collected but also the way organizations manage their businesses and/or activities. One of the ways to disclose database schemas is through the Create, Read, Update and Delete (CRUD) expressions. In fact, their use can follow strict security rules or be unregulated by malicious users. In the first case, users are required to master database schemas. This can be critical when applications that access the database directly, which we call database interface applications (DIA), are developed by third party organizations via outsourcing. In the second case, users can disclose partially or totally database schemas following malicious algorithms based on CRUD expressions. To overcome this vulnerability, we propose a new technique where CRUD expressions cannot be directly manipulated by DIAs any more. Whenever a DIA starts-up, the associated database server generates a random codified token for each CRUD expression and sends it to the DIA that the database servers can use to execute the correspondent CRUD expression. In order to validate our proposal, we present a conceptual architectural model and a proof of concept.

Secure, dynamic and distributed access control stack for database applications

In database applications, access control security layers are mostly developed from tools provided by vendors of database management systems and deployed in the same servers containing the data to be protected. This solution conveys several drawbacks. Among them we emphasize: 1) if policies are complex, their enforcement can lead to performance decay of database servers; 2) when modifications in the established policies implies modifications in the business logic (usually deployed at the client-side), there is no other possibility than modify the business logic in advance and, finally, 3) malicious users can issue CRUD expressions systematically against the DBMS expecting to identify any security gap. In order to overcome these drawbacks, in this paper we propose an access control stack characterized by: most of the mechanisms are deployed at the client-side; whenever security policies evolve, the security mechanisms are automatically updated at runtime and, finally, client-side applications do not handle CRUD expressions directly. We also present an implementation of the proposed stack to prove its feasibility. This paper presents a new approach to enforce access control in database applications, this way expecting to contribute positively to the state of the art in the field.

Endowing NoSQL DBMS with SQL features through standard Call Level Interfaces

To store, update and retrieve data from database management systems (DBMS), software architects use tools, like call-level interfaces (CLI), which provide standard functionalities to interact with DBMS. However, the emerging of NoSQL paradigm, and particularly new NoSQL DBMS providers, lead to situations where some of the standard functionalities provided by CLI are not supported, very often due to their distance from the relational model or due to design constraints. As such, when a system architect needs to evolve, namely from a relational DBMS to a NoSQL DBMS, he must overcome the difficulties conveyed by the features not provided by NoSQL DBMS. Choosing the wrong NoSQL DBMS risks major issues with components requesting non-supported features. This paper focuses on how to deploy features that are not so commonly supported by NoSQL DBMS (like Stored Procedures, Transactions, Save Points and interactions with local memory structures) by implementing them in standard CLI.

Secure, dynamic and distributed access control stack for database applications

In database applications, access control security layers are mostly developed from tools provided by vendors of database management systems and deployed in the same servers containing the data to be protected. This solution conveys several drawbacks. Among them we emphasize: (1) if policies are complex, their enforcement can lead to performance decay of database servers; (2) when modifications in the established policies implies modifications in the business logic (usually deployed at the client-side), there is no other possibility than modify the business logic in advance and, finally, 3) malicious users can issue CRUD expressions systematically against the DBMS expecting to identify any security gap. In order to overcome these drawbacks, in this paper we propose an access control stack characterized by: most of the mechanisms are deployed at the client-side; whenever security policies evolve, the security mechanisms are automatically updated at runtime and, finally, client-side applications do not handle CRUD expressions directly. We also present an implementation of the proposed stack to prove its feasibility. This paper presents a new approach to enforce access control in database applications, this way expecting to contribute positively to the state of the art in the field.

Processo terminográfico: vertentes conceptual, comunicativa e textual

O presente trabalho de investigação visa propor uma metodologia de elaboração de uma base de dados terminológica destinada a um público não- -especialista, e surge como resposta à necessidade de transmissão de informação ao consumidor, fruto de falta de – ou parca – compreensão do mesmo, relativa a géneros alimentícios com alegações de saúde disponíveis no mercado: os denominados alimentos funcionais. A proposta metodológica de segmentação e caracterização do processo terminográfico, baseada no modelo desenvolvido por Gouadec, para organização do processo global de tradução, encontra-se organizada em três fases – pré-terminografia, terminografia e pós-terminografia –, e compreende três vertentes de análise – uma vertente conceptual, uma vertente comunicativa e uma vertente textual. Em termos gerais, na fase de pré-terminografia é desenvolvido um trabalho preparatório – de familiarização com a área de especialidade e de delimitação da subárea de especialidade, de identificação dos contextos comunicativos e de constituição de corpora especializados – essencial à subsequente fase executória – fase de terminografia – de elaboração do recurso terminológico. A última fase – fase de pós-terminografia – compreende o desenvolvimento de esforços com vista à aplicação industrial do recurso, assim como a sua posterior constante actualização. Constituem objecto de análise do presente trabalho as duas primeiras fases supramencionadas e as etapas que as constituem. A consideração de três vertentes de análise é, de igual forma, relevante.Tal facto é demonstrado ao longo do processo terminográfico, designadamente a nível da análise das repercussões, na fase de terminografia, de cada uma destas vertentes, consideradas já na fase de pré-terminografia. Com este trabalho de investigação pretendemos demonstrar o papel social da Terminologia, no contributo que pode prestar na divulgação de ciência, concretamente através da apresentação de uma proposta de uma base de dados terminológica sobre alimentos funcionais para o consumidor – a AlF Beta. Do mesmo modo, temos por objectivo contribuir a nível da reflexão teórica e metodológica em Terminologia, nomeadamente no que concerne a sua vertente aplicada, através da elaboração de recursos terminológicos destinados a públicos não-especialistas.

Metodologia híbrida de desenvolvimento centrado no utilizador: aplicada ao software educativo

No panorama atual do desenvolvimento de software educativo é importante que os processos de desenvolvimento sejam adequados e compatíveis com o contexto em que serão utilizados este tipo de recursos. Desta forma, é importante melhorar continuamente os processos de desenvolvimento bem como se proceder à avaliação de forma a garantir a sua qualidade e viabilidade económica. Este estudo propõe uma Metodologia Híbrida de Desenvolvimento Centrado no Utilizador (MHDCU) aplicada ao software educativo. Trata-se de um processo de desenvolvimento simples, iterativo e incremental que tem como “alicerces” princípios do Design Centrado no Utilizador, especificados na International Organization for Standardization - ISO 13407. Na sua base encontra-se a estrutura disciplinada de processos de desenvolvimento, bem como práticas e valores dos métodos ágeis de desenvolvimento de software. O processo é constituído por 4 fases principais: planeamento (guião didático), design (storyboard), implementação e manutenção/operação. A prototipagem e a avaliação são realizadas de modo transversal a todo o processo. A metodologia foi implementada numa Pequena e Média Empresa de desenvolvimento de recursos educacionais, com o objetivo de desenvolver recursos educacionais com qualidade reconhecida e simultaneamente viáveis do ponto de vista económico. O primeiro recurso que teve por base a utilização desta metodologia foi o Courseware Sere – “O Ser Humano e os Recursos Naturais”. O trabalho seguiu uma metodologia de investigação & desenvolvimento, de natureza mista, em que se pretendeu descrever e analisar/avaliar uma metodologia de desenvolvimento de software educativo, i.e., o processo, bem como o produto final. O estudo é fundamentalmente descritivo e exploratório. A metodologia de desenvolvimento do software (primeira questão de investigação) foi proposta, essencialmente, com base na revisão integrativa da literatura da especialidade e com base nos resultados que emergiram das Fases 2 e 3. Do ponto de vista exploratório, foi avaliado, por um lado, o potencial técnico e didático da 1ª versão do software inserido no Courseware Sere (segunda questão de investigação), e, por outro lado, analisar os pontos fortes e as fragilidades da metodologia utilizada para o seu desenvolvimento (terceira questão de investigação). Como técnicas de recolha de dados recorreu-se a dois inquéritos por questionário e à observação direta participante (mediada pela plataforma moodle). Quanto às técnicas de análise de dados optou-se pela análise estatística descritiva e pela análise de conteúdo. Os resultados indicam que o recurso desenvolvido possui qualidade técnica e didática. Relativamente a análise da Metodologia Híbrida de desenvolvimento Centrado no Utilizador foram propostas algumas melhorias relacionadas com o envolvimento do utilizador e introdução de novos métodos. Apesar de identificadas algumas limitações, este projeto permitiu que a empresa melhorasse significativamente os processos de desenvolvimento de recursos (mesmo os que não são informatizados), bem como permitiu o aumento do seu portefólio com o desenvolvimento do Courseware Sere.

Beyond the artefact and techno-centricity: towards process-centric understanding of architecture - alternative facilitation strategies and proposals

The artefact and techno-centricity of the research into the architecture process needs to be counterbalanced by other approaches. An increasing amount of information is collected and used in the process, resulting in challenges related to information and knowledge management, as this research evidences through interviews with practicing architects. However, emerging technologies are expected to resolve many of the traditional challenges, opening up new avenues for research. This research suggests that among them novel techniques addressing how architects interact with project information, especially that indirectly related to the artefacts, and tools which better address the social nature of work, notably communication between participants, become a higher priority. In the fields associated with the Human Computer Interaction generic solutions still frequently prevail, whereas it appears that specific alternative approaches would be particularly in demand for the dynamic and context dependent design process. This research identifies an opportunity for a process-centric and integrative approach for architectural practice and proposes an information management and communication software application, developed for the needs discovered in close collaboration with architects. Departing from the architects’ challenges, an information management software application, Mneme, was designed and developed until a working prototype. It proposes the use of visualizations as an interface to provide an overview of the process, facilitate project information retrieval and access, and visualize relationships between the pieces of information. Challenges with communication about visual content, such as images and 3D files, led to a development of a communication feature allowing discussions attached to any file format and searchable from a database. Based on the architects testing the prototype and literature recognizing the subjective side of usability, this thesis argues that visualizations, even 3D visualizations, present potential as an interface for information management in the architecture process. The architects confirmed that Mneme allowed them to have a better project overview, to easier locate heterogeneous content, and provided context for the project information. Communication feature in Mneme was seen to offer a lot of potential in design projects where diverse file formats are typically used. Through empirical understanding of the challenges in the architecture process, and through testing the resulting software proposal, this thesis suggests promising directions for future research into the architecture and design process.

A durabilidade dos clássicos do design como instrumento de apoio ao processo de conceção de produto: 10 princípios para o projeto

A presente investigação identifica o caminho seguido no estudo que se centrou na durabilidade dos produtos como estratégia para a prevenção/redução dos impactes ambientais provocados pela excessiva produção e consumo das sociedades ocidentais. O trabalho baseou-se primeiramente na reunião de argumentos que justificassem a necessidade da investigação. A partir dos conhecimentos obtidos sobre as consequências do descarte prematuro de produtos, incluindo a produção de resíduos e utilização de recursos naturais, a investigação foi direcionada para as estratégias que motivam a redução do consumo pelo aumento da vida útil do produto. A durabilidade de alguns produtos designados de Clássicos do Design motivou o desenvolvimento da investigação. Depois de definido o universo que se enquadra nesta categoria, foi selecionada uma amostra que se considerou representativa e criou-se uma base de dados onde se sistematizou os conteúdos relevantes a conhecer. Através da análise qualitativa e quantitativa da amostra desses produtos, obteve-se uma matriz operativa composta por 10 princípios que pode ser introduzida no processo de design de novos produtos para aquisição de um tempo de vida útil inicial potencialmente maior. Os resultados da aplicação prática da estratégia desenvolvida, a tese, determinarão no futuro a conceção e produção de artefactos que se pretende apresentar à indústria nacional.