| View previous topic :: View next topic |
| Author |
Message |
Марина
Joined: 27 Aug 2002
Posts: 501
Location: Кондрина Марина Александровна
Occupation: ОАО БКО программист
Interests: Боровичи Новгородской обл
|
 Posted: 20 Oct 2005 08:48 Post subject: Права на программирование в БЭСТ |
 |
|
Хотелось бы обсудить вопрос безопасности.
Насколько я понимаю, сейчас любой пользователь имеет права в БЭСТ на написание своих плагинов (т е на полный доступ к любым файлам базы), а также на то, чтобы подменить, удалить любой плагин, написанный администратором, в Ctrl+F5. И это при том, что его права могут быть весьма ограничены в справочнике операторов
Права я или нет? |
|
| Back to top |
|
 |
Олег Смирнов
Joined: 06 Sep 2004
Posts: 821
Location: Олег Смирнов
Occupation: Раут (поганист-сисадмин)
Interests: Новосибирск
|
| Posted: 20 Oct 2005 10:06 Post subject: Re: Права на программирование в БЭСТ |
|
|
| Марина wrote: | | любой пользователь имеет права в БЭСТ на написание своих плагинов (т е на полный доступ к любым файлам базы), а также на то, чтобы подменить, удалить любой плагин, написанный администратором, в Ctrl+F5. |
Я, конечно, не разработчик; но сильно похоже, что всё именно так и обстоит...
_________________
С уважением, Олег Р. Смирн |
|
| Back to top |
|
|
Bestovichek
Joined: 22 Mar 2002
Posts: 257
|
| Posted: 20 Oct 2005 10:15 Post subject: |
|
|
т.е. любой кому чегодо не понравилось и решил навредить может написать плагин и "убить" базу данных!
просто виндовз 9х, когда любой пользователь может прибить системный каталог  |
|
| Back to top |
|
|
itman
Joined: 05 Apr 2002
Posts: 1247
Location: Ильин Е.Ю.
Occupation: Cio
Interests: Кинель
|
| Posted: 20 Oct 2005 10:25 Post subject: |
|
|
Похоже, от виря никто не будет застрахован 
я предлагаю:
- изменить процедуру вызова спецфункции, скрыть от пользователя имя файла
- создать процедуру обслуживания файла feval.dbf
- Так как задача несложная, назначить премию за лучшее решение.
и включить ее в сервис пак
Внимание !!! "Курсанты", прошедшие обучение по initlist. Дерзайте! .gif) |
|
| Back to top |
|
|
Марина
Joined: 27 Aug 2002
Posts: 501
Location: Кондрина Марина Александровна
Occupation: ОАО БКО программист
Interests: Боровичи Новгородской обл
|
| Posted: 20 Oct 2005 11:06 Post subject: |
|
|
| itman wrote: | | изменить процедуру вызова спецфункции, скрыть от пользователя имя файла |
Может быть, можно сделать еще одно удобство. Почему при вызове по требованию мы идем всегда через Ctrl+F5, потом листаем список. Для частых операций это такая мутота! Ведь всегда есть пара-тройка свободных функциональных клавиш. Наверное можно было бы в каких-то случаях привязаться к ним, а разработчик перед входом например в реестр накладных учел бы эту привязку (хотя бы не меняя надписи под окном)
(Сейчас мне скажут, что это я могу сама реализовать вызовом другой спецфункции "по требованию". Тем не мене |
|
| Back to top |
|
|
nordk
Joined: 27 Jun 2005
Posts: 1000
Location: Горбунов Константин
Occupation: БЭСТ-Партнер
Interests: СПб
|
| Posted: 20 Oct 2005 11:17 Post subject: |
|
|
| Bestovichek wrote: | т.е. любой кому чегодо не понравилось и решил навредить может написать плагин и "убить" базу данных!
просто виндовз 9х, когда любой пользователь может прибить системный каталог |
Есть более простые пути и были всегда.....но об этом на формуе я писать не буду.
Самое лучшее лекарство - это ежедневное копирование БД и сохранение ежедневных копий за ближайшие 2-3 месяца а дальше по копии в неделю |
|
| Back to top |
|
|
shura_k
Joined: 10 Oct 2003
Posts: 342
Location: Александр
Occupation: Специалист
Interests: Калининград
|
| Posted: 20 Oct 2005 11:20 Post subject: |
|
|
| Я этот вопрос втихоря поднимал и как результат в SP3 есть пароль на Ctrl+F5, посмотрите внимательно записку про новости SP. |
|
| Back to top |
|
|
Марина
Joined: 27 Aug 2002
Posts: 501
Location: Кондрина Марина Александровна
Occupation: ОАО БКО программист
Interests: Боровичи Новгородской обл
|
| Posted: 20 Oct 2005 11:25 Post subject: |
|
|
| Ежедневный backup поможет от вредительства, но не поможет от несанкционированного получения информаци |
|
| Back to top |
|
|
Олег Смирнов
Joined: 06 Sep 2004
Posts: 821
Location: Олег Смирнов
Occupation: Раут (поганист-сисадмин)
Interests: Новосибирск
|
| Posted: 20 Oct 2005 18:02 Post subject: |
|
|
| Bestovichek wrote: | | т.е. любой кому чегодо не понравилось и решил навредить может написать плагин и "убить" базу данных! |
Вообще говоря, "любой кому чегодо не понравилось", может убить базу и без написания плагина - просто с помощью FoxPro|Visual FoxPro|dbview и прочей всякой аналогичной хрени... 
Если уже так необходимы чётко прописанные права и защита от advanced-вредителей - "нужно что-то менять в системе" - (C) - М.Жванецкий
Иными словами - тут надобно SQL-сервер, который позволяет юзерам работать с их приложениями, но не позволяет гадить в базах данных.
_________________
С уважением, Олег Р. Смирн |
|
| Back to top |
|
|
Олег Смирнов
Joined: 06 Sep 2004
Posts: 821
Location: Олег Смирнов
Occupation: Раут (поганист-сисадмин)
Interests: Новосибирск
|
| Posted: 20 Oct 2005 18:15 Post subject: |
|
|
| nordk wrote: | | Самое лучшее лекарство - это ежедневное копирование БД |
А чем помогут даже ежедневные копии, если advanced-вредитель поменяет документ "на лету"?.. Ну или в течение текущего дня.
_________________
С уважением, Олег Р. Смирн |
|
| Back to top |
|
|
nordk
Joined: 27 Jun 2005
Posts: 1000
Location: Горбунов Константин
Occupation: БЭСТ-Партнер
Interests: СПб
|
| Posted: 20 Oct 2005 18:57 Post subject: |
|
|
Во-первых, SQL не такой уж и суперзащитный....
Также ломается как и вся винда и кстати говоря проводили тестовые испытания на предмет уронить его по питанию ПК допустим - падает за милую душу....что тады про Oracle заговорим ?
Насчет потерь налету - тут никто не застрахован - вынь питание из хаба в рабочее время и усе....
Тока один день потерять или скажем неделю - есть разница.
Спор бесконечен...
Вопросы то организационные и не надо в Б4+ такого думать.
Для отдельных решений или задач можно по месту определяться,
в зависимости от целей - кому ADS применить, где SQL-таблицы
через харбор
Б5 ближе к этому - кому принципиален будет такой вопрос - там и урегулируем.
Думаю здесь речь шла про простых операторов дабы убрать простейшее....Закроют паролем в третьем сервис-паке и ладно. |
|
| Back to top |
|
|
Олег Смирнов
Joined: 06 Sep 2004
Posts: 821
Location: Олег Смирнов
Occupation: Раут (поганист-сисадмин)
Interests: Новосибирск
|
| Posted: 20 Oct 2005 19:20 Post subject: |
|
|
| nordk wrote: | | Во-первых, SQL не такой уж и суперзащитный.... |
"Ну всё-таки!" (Кто не понял - это из старинного, советских лет, анекдота:
- Ваша жена - б**дь!
- А ваша?!.
- Ну, всё-таки!)
| nordk wrote: | | что тады про Oracle заговорим? |
Ещё раз: "Ну всё-таки!"
| nordk wrote: | | не надо в Б4+ такого думать. |
Вообще говоря, и у меня такая точка зрения - ежели волнуют такие вопросы - надобно выбирать чего-то по-серьёзнее...
P.S. | nordk wrote: | | проводили тестовые испытания на предмет уронить его по питанию ПК допустим - падает за милую душу... |
Константин!.. Сервер без бесперебойника - это нонсенс, давайте не будем про питание - так можно всё, что угодно "уронить"...
_________________
С уважением, Олег Р. Смирн |
|
| Back to top |
|
|
Марина
Joined: 27 Aug 2002
Posts: 501
Location: Кондрина Марина Александровна
Occupation: ОАО БКО программист
Interests: Боровичи Новгородской обл
|
| Posted: 21 Oct 2005 09:15 Post subject: |
|
|
Я смотрю, я не согласна со многими товарищами.
В БЭСТ существует система паролирования.
Никто по-моему и не считает ее защитой от грамотного вредительства. На мой взгляд, это защита от: 1)легкого и удобного несанкционированного получения информации 2)от случайного изменения информации людьми, которые будут ради интереса лазить по чужой информации и нажимать кнопки, которые не знают что сделают с этой информацией
A теперь посмотрим, что делает пароль на Ctrl+F5, сделанный в SP3.
Внутрь плагина мы и сами в принципе можем всадить пароль, причем отдельный для каждого плагина, или чтобы не набирать пароль часто, сделать проверку по _user_code и свой справочник разрешений работать с каждым плагином.
А вот справочник плагинов по-прежнему не защищен паролем SP3 от случайных действий пользователя и от их бестолковых нажатий. Они могут удалить редко используемый пункт. Они запросто могут вломиться по F11 в текст программы, что- то там бездумно нашлепать или стереть строки,даже случайно, выйти с записью, а за 2-3 месяца (которые Константин рекомендует хранить резервные копии) это может не обнаружиться, так как скорее всего никто не перекомпилирует и hrb-файл сохранится старым, пока в него не потребуется внести изменения. Вот тут-то программист-администратор и заметит, что текст программы в сущности утерян (если не хранит, кроме ежедневных копий PLIGINS, еще где-то отдельно твердые копии программ). Так что же это за среда программирования?
По-моему пароль на Ctrl+F5 в SP3 сделан неудачно и защищает не то, что нужно. Кроме того, если его и использовать, паролем мы запрещаем или открываем доступ ко всем плагинам сразу, что, согласитесь, тоже неудобно. |
|
| Back to top |
|
|
Титов Александр
Joined: 26 Jul 2002
Posts: 975
Location: Титов Александр Александрович
Occupation: Компания БЭСТ
Interests: Москва
|
| Posted: 21 Oct 2005 09:35 Post subject: |
|
|
| Марина wrote: |
По-моему пароль на Ctrl+F5 в SP3 сделан неудачно и защищает не то, что нужно. Кроме того, если его и использовать, паролем мы запрещаем или открываем доступ ко всем плагинам сразу, что, согласитесь, тоже неудобно. |
Доброе утро!
А как бы Вы сделали?
_________________
С уважением, Александр Титов, Компания БЭСТ, Москва, отдел разрабо |
|
| Back to top |
|
|
Марина
Joined: 27 Aug 2002
Posts: 501
Location: Кондрина Марина Александровна
Occupation: ОАО БКО программист
Interests: Боровичи Новгородской обл
|
| Posted: 21 Oct 2005 09:50 Post subject: |
|
|
Окучивая ранее сказанное, я бы поднапряглась и добилась следующего эффекта:
В справочнике плагинов кроме наименования, файла, параметров, типа вызова могут быть заданы в случае вызова по требованию:
- пароль на вызов плагина
- функциональная клавиша на плагин (для быстрого вызова его без Ctrl+F5 и долгого шагания по справочнику до нужного плагина).
При вызове через Ctrl+F5 на экран должен выводиться список наименований плагинов без указания файла (пользователя это не касается). (Надеюсь это список несекретный и защищать его паролем от просмотра не надо)
Для использования F4,Ctrl+Enter,F8,F11 в справочнике плагинов пользователь должен сперва ввести пароль SP3, если он зада |
|
| Back to top |
|
|
|
FAQ
Search
Memberlist
Usergroups
Register
Profile
Log in to check your private messages
Log in
