|
|
|
|
|
Дыра в 1С восьмерке | ☑ | ||
|---|---|---|---|---|
|
0
Demiurg
20.10.04
✎
22:11
|
гуляет по инету
Все данные подключения к серверу SQL (имя сервера, логин, пароль и т.п.) хранятся в текстовом файле открытым текстом на сервере приложение 1С 8 по пути: C:\Documents and Settings\All Users\Application Data\1C\1Cv8\srvrib.lst Как известно, в каталог "All users" имеют доступ все пользователи. Т.е. любой пользователь сети сможет ими воспользоваться. |
|||
|
1
427
20.10.04
✎
22:14
|
Только узнал об этом?
А еще некоторые орут, что там есть РЛС ..... и запрещают ковырять мне в носу пальцем... |
|||
|
2
Demiurg
20.10.04
✎
22:16
|
(1) ко мне стали обращаться, как будто это я извоял, а не 1С, вот и вынес сюда
кстати, сама 1С отказалась давать комментарии пока |
|||
|
3
427
20.10.04
✎
22:51
|
хе-хе... Скоро якобы зашифруют.... XOR-om...
Там и еще прикольчики есть... |
|||
|
4
Demiurg
20.10.04
✎
23:06
|
Ну уж говори, если можешь по существу
|
|||
|
5
BorisG
20.10.04
✎
23:10
|
(2) Да... Не знал? Видно восьмеркой совсем мало занимаешься.
Этой "новости" в отрытой публикации скоро год... http://itland.ru/forum/index.php?showtopic=1297 http://itland.ru/forum/index.php?showtopic=1430 В последней ветке, кстати, и ответ 1С есть... |
|||
|
6
Demiurg
20.10.04
✎
23:30
|
да, да, вразумительные ответы :)
Борис Николаевич, моей конторе по профилю 1С ну ни как не следует заниматься, уж пардоны, вот я и "партизаню" |
|||
|
7
Кекс
20.10.04
✎
23:35
|
2Demiurg: И чем Вам ответы не нравятся ?
|
|||
|
8
Demiurg
20.10.04
✎
23:41
|
(7) Тем, что я не могу ответить своим заказчикам так, как отвечают здесь, дорогой Кексик
|
|||
|
9
BorisG
20.10.04
✎
23:59
|
(8) Да, к большому сожалению, так. Если серьезно встал вопрос безопасности, я думаю, тебя ждет пока очень много разочарований.
Когда закончатся детские игры, можно будет о чем-то говорить. И о модульности, и о RLS. |
|||
|
10
fez
21.10.04
✎
00:01
|
(8) Почему?
|
|||
|
11
SnarkHunter
21.10.04
✎
06:43
|
ИзЮмляет аргументация товарисчей ZAV'а и пр. ...
|
|||
|
12
ZAV
21.10.04
✎
07:54
|
2Demiurg&SnarkHunter: Еще раз повторю, если пользователь получил доступ к служебным файлам на сервере, то шифрование тут не спасет ! Он еще и файлы БД может утащить, они же не шифруются !
|
|||
|
13
SnarkHunter
21.10.04
✎
08:01
|
(12)Ок. Я понимаю, это позиция.
|
|||
|
14
ZAV
21.10.04
✎
08:04
|
2SnarkHunter: Приведи способ шифрации который спасет от похищения данных ?
|
|||
|
15
SnarkHunter
21.10.04
✎
08:16
|
Это бессмысленный спор...
|
|||
|
16
ZyXEL
21.10.04
✎
08:18
|
Согласен с ZAV`ом полностью.. Наши защищать сервер... Наверное еще и на каждом компе есть информация этаже... Может сразу всё компы замуруем куда нибудь и будем счастливы сто их ниххххто не взломает??
Вариант 1С конечно не фонтан... Ну что то типа HASH`а уж могли бы сделать.. Лень ребятам а нам расхлебывай.. |
|||
|
17
ZAV
21.10.04
✎
08:22
|
2SnarkHunter: Согласен, только причины разные. У тебя нет аргументов и предложений как решить проблему. Я же описываю почему так сделано.
2ZyXEL: Как ты думаешь, через какое время появится тулза для расшифровки ? :) |
|||
|
18
ZyXEL
21.10.04
✎
08:26
|
:) как только человек найдет файлик :) notepad?? :))
|
|||
|
19
427
21.10.04
✎
08:31
|
(17) Приколы типа (0) как раз и дают повод пнуть фирму в одно место... Был бы элементарный хеш - формально повода нет.
Сейчас же можно открыто издеваться - после (0) все слова о наличии системы контроля доступа - бред собачачий... |
|||
|
20
ZAV
21.10.04
✎
08:40
|
427: Тогда все бы издевались, вот 1Совцы лохи, зашифровать по нормальному не могли. Поэтому, лучше пусть сразу админы безопасностью озаботятся.
|
|||
|
21
BorisG
21.10.04
✎
08:47
|
(17) Александр, на самом деле это бессмысленный спор, тем более тут.
Слава (Demiurg) сильно обеспокоен вопросами безопасности системы на уровне ОС и железа, поэтому для него такое решение равносильно записи пароля на бумажке на мониторе в серверной, и в какой-то степени он прав. На сколько это его желание соответствует требованиям безопасности, принятыми в его компании, дистанционно сказать невозможно, поэтому такая его оценка ситуации вполне имеет право на жизнь. Вопрос на самом деле вовсе не праздный. |
|||
|
22
427
21.10.04
✎
08:48
|
Ну, при наличии (0) их по другому и назвать то трудно... Это же как надо не думать..
Просто это достаточно актуальный вопрос - и хотелось бы, чтобы столь явных семерочных проколов все таки не было. Достают они в 7 сильно. P.S. - а этот прокол наверняка уберут. И никто слова плохого не скажет... Нельзя же на борделе вешать красный фонарь, освещающий весь город... |
|||
|
23
SnarkHunter
21.10.04
✎
09:07
|
(17)Наличие/отсутствие моих аргументов не имеет никакого значения. Описание "почему так сделано", на мой взгляд, больше похоже на попытку сохранить хорошую мину... Предложения? Не вижу смысла, ведь есть аргументированное объяснение "почему так сделано"...
|
|||
|
24
Demiurg
21.10.04
✎
18:30
|
Размышления моих коллег:
...Судя по ответу, в 1с не задумываются о варианте, когда сервер приложения 1с установлен на терминальный сервер, который они так рьяно пропогандируют. У меня был интересный случай: на момент проектирования конторской ИТ инфраструктуры, т.к. я не был знаком с 1с 8.0, я задал их суппорту вопрос о том можно ли устанавливать серевер приложений 1с 8.0 на терминальный сервер. Они ответили что при том количестве пользователей, которое я указал для этого НЕТ НИКАКИХ противопоказаний. Я сам конечно понимаю, что на терминальный сервер такого плана софт устанавливать крайне не желательно, но при ограниченном бюджете возможно и такое. Например когда люди используют SBS 2000... ...что касается шифрования и защиты - оно возможно, с использованием API доступа в защищенное хранилище профиля пользователя (Protected Storage). При этом уровень защиты будет такой же, как и для системных ключей, например. Другой вопрос, что "программистам" из 1С это, видимо, представляется совсем заоблачной технологией... |
|||
|
25
Кекс
21.10.04
✎
19:05
|
2Demiurg: Где 1С пропагандирует сервер терминалов ? Проблема доступа к этому файлу легко решается установкой прав на этот файл.
А про Protected Storage по подробней можно ? |
|||
|
26
427
21.10.04
✎
19:18
|
(25) Читать то ты его не запретишь...
|
|||
|
27
BorisG
21.10.04
✎
19:21
|
(25) Видишь ли... Это тебе не pit'a пинать... Прежде, чем о чем-то писать, нужно бы и с теорией вопроса хоть как-то ознакомиться.
Есть в этом вопросе одна проблема. Все дыры и (или) проблемы в системе безопасности должны быть изложены в руководстве по установке системы. Назови страницу руководства, где написано, что нужно установить эти права. Можно ссылку на конференцию 1С и (или) раздел для разработчиков, где это написано. Если этого нет, извини, это действительно дыра в системе безопасности, и Demiurg на 100% прав, что поднял этот вопрос. |
|||
|
28
427
21.10.04
✎
19:32
|
Борь, так аргументов на пинки у него нет... и не было
Собака лает - караван идет (с) Среднеазиатская мудрость... |
|||
|
29
Кекс
21.10.04
✎
21:03
|
427: Это почему ? Могу и чтение запретить !
BorisG: Про доку согласен. |
|||
|
30
427
21.10.04
✎
21:20
|
(29) Шутку оценил... Но 3D-юмор приятнее...
|
|||
|
31
Demiurg
21.10.04
✎
22:30
|
||||
|
32
Demiurg
21.10.04
✎
22:33
|
||||
|
33
Кекс
21.10.04
✎
22:33
|
А при чем тут Microsoft Windows CE 5.0 ??? Это для Windows 2003 Server есть ?
|
|||
|
34
Demiurg
21.10.04
✎
22:35
|
CE, аль не CE, захочешь разберешься, в СЕ многие вещи еще более просты, чем в "последних шедеврах" M$
|
|||
|
35
Demiurg
21.10.04
✎
22:36
|
(33) еще узнай, что такое API :))))
|
|||
|
36
MMF
21.10.04
✎
22:38
|
Не стоит так переживать... Это общепринятая практика. Если можно унести файл базы данных - данные из него получишь в любом случае.
|
|||
|
37
Кекс
21.10.04
✎
22:44
|
Сцылку не заметил.
Ну и что это меняет ? Если ключи будут доступны, то и расшифруют быстро ! А ключик не спрячешь, приложение то должно файл раскриптовать ! |
|||
|
38
Demiurg
21.10.04
✎
22:54
|
36, 37 я бы вас может быть и понял :), а вот мои клиенты - нет
|
|||
|
39
427
21.10.04
✎
23:06
|
(37) А ключ можно сделать менее доступным...
|
|||
|
40
Demiurg
21.10.04
✎
23:15
|
(39) бесполезно, этим надо заниматься, им ты не объяснишь, пока сами не захотят разобраться (ИМХО), и без обид
|
|||
|
41
427
21.10.04
✎
23:32
|
А я уже это понял и после нескольких ответов "ПНХ" от линии консультаций завязал...
|
|||
|
42
Demiurg
21.10.04
✎
23:36
|
(41) Может быть ты продашь свой "толково-уместный цитатник" ? ;)
Было бы время - лазил бы форуму, записывал твои "эссе" |
|||
|
43
Pilcrow
22.10.04
✎
08:38
|
(36) Недальновидно.
Понятно, что на любой сейф найдется "медвежатник". Но, если ключ рядом на гвозде висит, открыть его может всякий любитель поживиться. А таких на несколько порядков больше, чем "медвежатников". Это я к тому, что SQL-базу без знания пароля еще уметь прочесть надо. А если пароль открытым текстом рядом лежит... |
|||
|
44
Demiurg
22.10.04
✎
10:28
|
Спросил у "авторитета" :) http://www.ozon.ru/context/detail/id/1901536/default.aspx#comment
|
|||
|
45
Gary
22.10.04
✎
10:32
|
(44) хе-хе.. особо понравилось что покупают по мнению Озона, что с этой книгой покупают :-) Жаль книги нет "Танцы с бубном. Часть 1-ая"
|
|||
|
46
Волшебник
22.10.04
✎
10:34
|
(44) Цитирую ozon:
" С этим товаром часто покупают Танец живота. Вторая ступень мастерства Кьелл А. Нордстрем, Йонас Риддерстрале Бизнес в стиле фанк. Капитал пляшет под дудку таланта Дживс и Вустер. Серии 1, 2 Школа танца живота для начинающих Дживс и Вустер. Серии 3, 4 Учимся танцевать. Клубные танцы 1. House/Hip-Hop. Базовые движения Калланетик - пластическая гимнастика. Секреты красоты Пластическая гимнастика Калланетик Учимся танцевать. Клубные танцы 2. R`n`B. Базовые движения Дживс и Вустер. Серии 5, 6 " |
|||
|
47
Rovan
гуру
02.12.04
✎
12:12
|
Я нашел хорошую страницу с критикой платформы 1С 8.0
http://www.kint.ru/k.pl?p=113 |
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|