Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Сравнение СУБД Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 2 3 4 [5] 6   вперед  Ctrl      все
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Сергей84
Member

Откуда: Мурманск
Сообщений: 27465
panch
Сергей84
Gluk (Kazan)
panch
Кроме того с точки зрения защиты по крайней мере
7.7 очень спорная вещь.


Бесспорная Как может вызывать споры то чего нет ???
Буддизмом отдает :)

Для кого-то нет, а для кого-то есть - не все такие умные как вы!


А жалко пусть на одном компе и инет
и 1с который все время открыт
вот есть подозрение что можно написать страничку на HTML
что при заходе на нее в окрытом 1с запускается
например процедура глобального модуля
при этом знать пароли не обязательно

Судя вашей логике тогда все ИС не такие уж и безопасные ;)

P.S. прежде чем обсуждать что-то в системе не мешало бы почитать про решения проблем в этой области... (давно уже есть решения по шифрованию по аутентификации средствами винды и т.п.).
12 окт 05, 17:43    [1963066]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Сергей84
Member

Откуда: Мурманск
Сообщений: 27465
Забыл дописать, что дело за малым:
1 нужно знать глобальную процедуру
2 нужно знать как она работает и что выдает
3 необходимо куда то всетаки отправить данные возвращаемые процедурой
12 окт 05, 17:45    [1963077]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
panch
Member

Откуда: из окрестностей великого города Урюпинска
Сообщений: 873
Сергей84
Забыл дописать, что дело за малым:
1 нужно знать глобальную процедуру
2 нужно знать как она работает и что выдает
3 необходимо куда то всетаки отправить данные возвращаемые процедурой


возможно 1с и работает со всякими там DNA и SSL
но в без конкретизации ваш предыдущий ком
звучит неубедительно

был бы вам очень признателен за какой-нибудь намек
где в 1с это лежит

а про глобальные процедуры -
есть стандартно определенные глобальные процедуры
есть стандартные имена регистров и справочников
которые можно так взять и ....
страшно говорить

лутшее всего это все иметь ввиду и делать копии данных
12 окт 05, 18:03    [1963157]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Сергей84
Member

Откуда: Мурманск
Сообщений: 27465
panch
Сергей84
Забыл дописать, что дело за малым:
1 нужно знать глобальную процедуру
2 нужно знать как она работает и что выдает
3 необходимо куда то всетаки отправить данные возвращаемые процедурой


возможно 1с и работает со всякими там DNA и SSL
но в без конкретизации ваш предыдущий ком
звучит неубедительно

был бы вам очень признателен за какой-нибудь намек
где в 1с это лежит

а про глобальные процедуры -
есть стандартно определенные глобальные процедуры
есть стандартные имена регистров и справочников
которые можно так взять и ....
страшно говорить

лутшее всего это все иметь ввиду и делать копии данных

вот несколько ссылок по безопасности 1С:
http://www.softpoint.ru/info.php?id=15 (к сожалению вы уже опоздали, но если мне прешлют доки с презентацией(во всяком случае обещали), то я смогу с вами поделиться, если так уж интересно)
http://ivn73.tripod.com/stat_security_admin.htm (к сожалению моя прокси меня почемуто не пропускает, но м\б сайт еще жив :) )

P.S. к сожалению некоторые имеющиеся у меня ссылки по безопасности не работают, м\б сайты переехали, но при желании вы сможете через яндекс много чего найти, так же рекомендую заглянуть на 1c.proclub.ru там неоднократно обсуждались вопросы безопасности на форумах, а так же в ветке "комерческие предложениях" звучали предложения по усилению безопасности, много чего есть полезного в ветке "архив разработок".

P.P.S Согласен есть стандартные названия регистров и гл процедур, только вот незадача, только конфигураций ТиС счас 938, и только последнии более или менее похожи начиная где-то с 930, так же не забываем о том, что конфигурация может быть самописная, или сильно переписанная Так что ваше предположение о уязвимости оч. похоже на уязвимость в маршрутизаторах CISCO, где во время обмена между 2-мя маршрутизаторами, которые нумеруют каждый пакет, можно угадать его номер и послать свой вредоносный пакет, который будет воспринят как оригинальный, только все это из области "знал бы прикуп - жил бы в сочи", т.е. из области фантастики.
12 окт 05, 18:33    [1963264]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
panch
Member

Откуда: из окрестностей великого города Урюпинска
Сообщений: 873
Сергей84
panch
Сергей84
Забыл дописать, что дело за малым:
1 нужно знать глобальную процедуру
2 нужно знать как она работает и что выдает
3 необходимо куда то всетаки отправить данные возвращаемые процедурой


возможно 1с и работает со всякими там DNA и SSL
но в без конкретизации ваш предыдущий ком
звучит неубедительно

был бы вам очень признателен за какой-нибудь намек
где в 1с это лежит

а про глобальные процедуры -
есть стандартно определенные глобальные процедуры
есть стандартные имена регистров и справочников
которые можно так взять и ....
страшно говорить

лутшее всего это все иметь ввиду и делать копии данных

вот несколько ссылок по безопасности 1С:
http://www.softpoint.ru/info.php?id=15 (к сожалению вы уже опоздали, но если мне прешлют доки с презентацией(во всяком случае обещали), то я смогу с вами поделиться, если так уж интересно)
http://ivn73.tripod.com/stat_security_admin.htm (к сожалению моя прокси меня почемуто не пропускает, но м\б сайт еще жив :) )

P.S. к области фантастики.



сайт жив:)
но я немного про другое говорю
все-таки не зная пароля в MySQL запустить хранимую процедуру
нельзя ни через DDE ни через OLE.
12 окт 05, 18:52    [1963344]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Сергей84
Member

Откуда: Мурманск
Сообщений: 27465
panch
Сергей84
panch
Сергей84
Забыл дописать, что дело за малым:
1 нужно знать глобальную процедуру
2 нужно знать как она работает и что выдает
3 необходимо куда то всетаки отправить данные возвращаемые процедурой


возможно 1с и работает со всякими там DNA и SSL
но в без конкретизации ваш предыдущий ком
звучит неубедительно

был бы вам очень признателен за какой-нибудь намек
где в 1с это лежит

а про глобальные процедуры -
есть стандартно определенные глобальные процедуры
есть стандартные имена регистров и справочников
которые можно так взять и ....
страшно говорить

лутшее всего это все иметь ввиду и делать копии данных

вот несколько ссылок по безопасности 1С:
http://www.softpoint.ru/info.php?id=15 (к сожалению вы уже опоздали, но если мне прешлют доки с презентацией(во всяком случае обещали), то я смогу с вами поделиться, если так уж интересно)
http://ivn73.tripod.com/stat_security_admin.htm (к сожалению моя прокси меня почемуто не пропускает, но м\б сайт еще жив :) )

P.S. к области фантастики.



сайт жив:)
но я немного про другое говорю
все-таки не зная пароля в MySQL запустить хранимую процедуру
нельзя ни через DDE ни через OLE.

Ну и что? Палюбому есть другие дыры для доступа :)
Если вас не устраивает безопасность 1С - я привел ссылки, где предлагают решения, так же можно найти их в инете, если например сделать аутентификацию средствами винды - да хоть дозапускайтесь глпроцедуры, все равно на уровне MSSQL вас не пропустит к данным, если правильно все навтроить :) Так же уже есть 8-ка, которая в этой области на порядок выше.
12 окт 05, 19:00    [1963386]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
panch
Member

Откуда: из окрестностей великого города Урюпинска
Сообщений: 873
мы похоже говорим на разных языках

безопасность как они ее понимают обходится
очень легко с помощью человеческого фактора :)
предлагаем вначале подкуп
если не поможет - силовое воздействие
вот и вся безопасность
:)

вопрос другой - насколько безопасно держать 1с в сети
не опасна ли она вообще
как система
12 окт 05, 19:01    [1963388]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
panch
Member

Откуда: из окрестностей великого города Урюпинска
Сообщений: 873
одним словом ждем восмерку и предохраняемся
:)
12 окт 05, 19:05    [1963406]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Любопытный Икс
Guest
Мы есть то,что мы есть...Это верно и по отношению 1С.Через 20-30 лет,мы будем удивляться на эту хрень...
13 окт 05, 13:49    [1965815]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Сергей84
Member

Откуда: Мурманск
Сообщений: 27465
panch
мы похоже говорим на разных языках

безопасность как они ее понимают обходится
очень легко с помощью человеческого фактора :)
предлагаем вначале подкуп
если не поможет - силовое воздействие
вот и вся безопасность
:)

вопрос другой - насколько безопасно держать 1с в сети
не опасна ли она вообще
как система

Как система она вполне безопасна при правильном использовании, если же дать доступ куда хочу - туда и лезу, тады жди проблем...
Самая большая опасность пользователи, как вы уже и написали, но это уже из др. области...
13 окт 05, 16:13    [1966732]     Ответить | Цитировать Сообщить модератору
 1С - это СУБД или нет?  [new]
Станислав Митичкин
Guest
В первую очередь, "1С" - это фирма.
Далее, "1С:Предприятие" - это система программ, платформа автоматизации (подробнее см. ниже).

В файловом варианте можно сказать, что 1С:Предприятие 7.7 и 8.0 - это специализированные СУБД. Но если интересуют тонкости, то нужно знать, что 7.7 использует движок Codebase для работы с DBF-файлами, а в версии 8.0 в файловом варианте все данные (почти) хранятся в файле 1cd, формат которого неизвестен и используется свой собственный движок БД (engine).

В клиент-серверном варианте для 7.7 и 8.0 системой управления БД является Microsoft SQL Server, а 1С:Предприятие является лишь" системой автоматизации". Если опять же нужны тонкости, то скажу, что 7.7 использует SQL Server не очень эффективно, не как СУБД, а как хранилище файлов-таблиц. В 8.0 возможности SQL Server используются более полно и есть еще промежуточное звено - сервер "1С:Предприятия 8.0", который берет на себя часть работы по выполнению запросов (кеширование, оптимизация) и может выполнять программный код на стороне сервера

Почему я сразу сказал, что 1С:Предприятие - это система программ? Потому что платформа 1С:Предприятие немыслима без конфигураций. Для применения 1С:Предприятия по назначению (а не для забивания гвоздей) нужно использовать конфигурацию (купить готовую, заказать разработку/доработку или сделать самому). Конфигурации - это тоже программы, которые рассчитаны на выполнение в определенной среде - другой программе - платформе 1С:Предприятие. Так что "1С:Предприятие" в целом - это именно система программ.

Еще 1С называют "средой разработки". Это тоже не совсем правильно. Средой разработки конфигураций для платформы 1С:Предприятие 8.0 является Конфигуратор. Причем он служит не только для разработки, но также для администрирования систем (управление списком пользователей, наблюдение подключенных пользователей, просмотр журнала регистрации, тестирование и исправление информационной базы).

Еще один распространенный термин - 1С - это язык программирование. Это не так. Правильнее так: в платформе 1С:Предприятия есть ВСТРОЕННЫЙ ЯЗЫК, позволяющий программировать бизнес-логику и обрабатывать события. Его нельзя назвать полноценным языком программирования, как C++ или ObjectPascal (Delphi), ему больше подходит определение "скриптовый язык", как VBA или PHP (это лишь аналогия, которая может просто помочь объяснить, но не претендует на полноту и точность).

Это конечно мое личное мнение, подкрепленное моим опытом.
31 окт 05, 16:54    [2024228]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
rmp
Member

Откуда:
Сообщений: 115
Если так почитать, то всех кто участвует в этой дискуссии, можно поделить на 2 части. Первая -это люди, которые начинали свой путь с 1С, зарабатывают на бедных бухгалтерах, присадив их на иглу 1С, и для них ничего лучше чем 1С нет в этой жизни и самое страшное, что у них даже у сертифицированных франчей с регалиями от ЗАО "1С" нет элементарного понятие о теории баз данных о формах нормализации; они конечно будут говорить у нас 1С80 на MSSQL работает, а что такое QA или Profiler мало кто знает, поэтому попытки второй части программеров (которые начинали свой путь автоматизации не с 1С) объяснить это, все равно будут натыкаться на стену враждебности и похабные предложение 30 долл. в час или 100 долл.час написать биллинговую систему, мне кажется медицина может исследовать сей феномен как 1С-мания, кто-то из медиков может написать даже диссертацию на эту тему.
1 ноя 05, 10:53    [2026178]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Сергей84
Member

Откуда: Мурманск
Сообщений: 27465
rmp
Если так почитать, то всех кто участвует в этой дискуссии, можно поделить на 2 части. Первая -это люди, которые начинали свой путь с 1С, зарабатывают на бедных бухгалтерах, присадив их на иглу 1С, и для них ничего лучше чем 1С нет в этой жизни и самое страшное, что у них даже у сертифицированных франчей с регалиями от ЗАО "1С" нет элементарного понятие о теории баз данных о формах нормализации; они конечно будут говорить у нас 1С80 на MSSQL работает, а что такое QA или Profiler мало кто знает, поэтому попытки второй части программеров (которые начинали свой путь автоматизации не с 1С) объяснить это, все равно будут натыкаться на стену враждебности и похабные предложение 30 долл. в час или 100 долл.час написать биллинговую систему, мне кажется медицина может исследовать сей феномен как 1С-мания, кто-то из медиков может написать даже диссертацию на эту тему.

КГ\АМ
Во первых на думаю на этом форуме все хоть раз слышали о нормализации, и большинство об этом знает. ДА-ДА, все мы читаем умные книжки говорим о нормальизации, только вот на практике - дело намного хуже, ну не бывает идеальных БД полностью со всех сторон нармализированых, так же если вам так интересно поковыряйте др. системы - думаю с нормализацией вы в любой коробочной системе найдете проблемы с этим.
Во вторыйх игла 1С слишком преувеличина и преукрашена, т.к. любая ИС для предприятия игла, т.к. внедрение системы и работа на ней это столько сил и денег, что слазить уже никуда никто не хочет, вот поставьте себе скажим Axapt-у, завтра MS станет собирать дань с нее скажем по 100$ в мес - и будете платить никуда не денетесь, т.к. проще платить по 100 у.е. в мес, чем перейти на др. систему, т.к. сумма перехода будет не сопоставима с абон платой.
И чего вы придрались к 30 у.е. в час и 100 у.е. в час, стоимость SAP-ца вызвать кажется 1200 euro в день - и что? ну пойдете скажите им, чтоб они не оббирали бедных бухгалтеров.
При желании на 1С можно написать билинг, но кто возметься и будет ли это дешевле, чем на др. языках или купить готовый продукт - спорный вопрос.
Можно подумать, что 2-ая часть программеров работающая скажем с Парусом - все поголовно знают, что такое QA и Profiler :) Не надо наговаривать, всегда есть те, которые это знают и есть те кто не знают, и это знание\незнание не зависит от того с какой системы вы начали свой путь.
На счет защиты 1С - если кто-то нападает на ИС, всегда найдутся люди которые вполне дружат с этой ИС и будут ее защищать. Простой пример завидите 3 ветки, где напишите 1-я SAP *овно OESB рулит, 2-я Axapta *овно Navision рулит, 3-я BAAN *овно Галактика рулит - через несколько часов в каждой ветке появиться по несколько постов, где вам предложат принять мышьяк - так что не надо наговаривать, вам не нравиться - ваши проблемы.

P.S. каждая ИС имеет право на жизнь и на свою нишу в сфере бизнеса, и у каждой ИС есть свои последователи.
1 ноя 05, 11:17    [2026325]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
rmp
Member

Откуда:
Сообщений: 115
Я ни в коей мере не хотел оскорбить ваши чувства, просто если кто-то начинает автоматизировать свое предприятие. то лучше 100 раз подумать, а есть альтернатива 1С
1 ноя 05, 11:29    [2026385]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Сергей84
Member

Откуда: Мурманск
Сообщений: 27465
rmp
Я ни в коей мере не хотел оскорбить ваши чувства, просто если кто-то начинает автоматизировать свое предприятие. то лучше 100 раз подумать, а есть альтернатива 1С

все нормальные люди и думают, а есть те которые ведуться на красивые сказки внедренцев и потом жалуются, что сказка не стала явью
1 ноя 05, 11:37    [2026423]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
gybson
Member

Откуда:
Сообщений: 1107
Чтобы защитить данные 1С, надо

1. Ограничить доступ к базе SQL-сервера.
2. Ограничить доступ к каталогу users, чтобы нельзя было стереть файлик users.def и зайти без пароля.

А потом молиться о том, что никто не вскроет MD и не достанет оттуда параметры доступа к БД.

P.S. Чтобы рассматривать 1С как СУБД, необходимо рассматривать SQL как файловую систему, тогда все встает на свои места. Вообще можно развести флейм на тему "MS SQL" не СУБД, файлы то ОС пишет.
17 ноя 05, 17:45    [2080452]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Сергей84
Member

Откуда: Мурманск
Сообщений: 27465
gybson
Чтобы защитить данные 1С, надо

1. Ограничить доступ к базе SQL-сервера.
2. Ограничить доступ к каталогу users, чтобы нельзя было стереть файлик users.def и зайти без пароля.

А потом молиться о том, что никто не вскроет MD и не достанет оттуда параметры доступа к БД.

P.S. Чтобы рассматривать 1С как СУБД, необходимо рассматривать SQL как файловую систему, тогда все встает на свои места. Вообще можно развести флейм на тему "MS SQL" не СУБД, файлы то ОС пишет.

Видимо вы совсем не разбираетесь в 1С.
1 - БД на MSSQL и так всегда ограничена - ее так просто не скопируешь
2 - На каталог users делаем только чтение - и все, все работают, но менять не могут
3 - Параметры доступа к 1С не в MD-ике хранятся. (скажу посекрету они хранятся еще и зашифрованом виде)

P.S. если хотите защитить 1С рекомендую сначала более подробно познакомиться с данным ПП, после чего почетить специализированные форумы, где полностью разжеваны методы защиты от несанкционированного доступа к 1С.
17 ноя 05, 17:54    [2080525]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
gybson
Member

Откуда:
Сообщений: 1107
Видимо за шесть лет работы хреново изучил.

Доступ к БД на SQL всегда ограничен, но не для всех. Скажем можно сделать всех "нечаянно" локальными админами на сервере, ну или специально "Ну а че пусть фильмы качают". Где хранятся параметры доступа к SQL запямотавал, каюсь, но факт то, что достать их можно. Ну а замечание про каталог users - разве я не то же самое сказал?

Я просто дал элементарные советы, потому что какого-то очень большого уровня защищенности не будет все-равно. Ну и главное тут то, что защищенной необходимо делать всю ситему в целом, а не только 1С.
17 ноя 05, 18:06    [2080616]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Сергей84
Member

Откуда: Мурманск
Сообщений: 27465
gybson
Доступ к БД на SQL всегда ограничен, но не для всех. Скажем можно сделать всех "нечаянно" локальными админами на сервере, ну или специально "Ну а че пусть фильмы качают".

хм...
мне кажется в таком случае - любая система беззащитна
вы бы еще дали бы права админов AD, а потом удивлялись, что у вас защита нарушена

P.S. в любом случае надо настраивать защиту, раздавать права и т.д. и т.п. в независимости от того 1С это или SAP...
если что-то пользователю не нужно для работы - запрети это и живи спокойно! :)
17 ноя 05, 18:14    [2080648]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Сергей84
Member

Откуда: Мурманск
Сообщений: 27465
забыл добавить, про то, что можно достать параметры соединения 1С
скажем так несуществует абсолютной безопасности, т.к. и ХЭШ пароля винды можно перехватить и узнать пароль, и BackDoor сделать для солярки...
да чего говорить инет полон эксплоитов\генераторов вирусов и др. херней, счас даже ScriptKids - опасны, а вы говорите дать права админа на сервак...
эххх...
17 ноя 05, 18:17    [2080673]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
gybson
Member

Откуда:
Сообщений: 1107
Об этом я и хотел сказать. К вопросу надо подходить не с 1С, а с винды на клиентских машинах, домена и т.д. и т.п.
17 ноя 05, 18:23    [2080696]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Dogen
Member

Откуда: Гондурас
Сообщений: 2976
LVadim
Не вижу проблем, в чем проблмы то?


В ДНК.
22 ноя 05, 11:28    [2093453]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
rmp
Member

Откуда:
Сообщений: 115
Dogen
LVadim
Не вижу проблем, в чем проблмы то?


В ДНК.


Точно
22 ноя 05, 11:57    [2093733]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
alexey_tm
Member

Откуда: Томск
Сообщений: 173
Сергей84
[
2 - На каталог users делаем только чтение - и все, все работают, но менять не могут

Поделитесь секретом, как это сделать, у нас 1С при попытке сделать разрешение только начтение, просто перестает кого-либо пускать
22 ноя 05, 13:24    [2094452]     Ответить | Цитировать Сообщить модератору
 Re: Интересна характеристика БД на основе 1С с точки зрения безопасности.  [new]
Сергей84
Member

Откуда: Мурманск
Сообщений: 27465
alexey_tm
Сергей84
[
2 - На каталог users делаем только чтение - и все, все работают, но менять не могут

Поделитесь секретом, как это сделать, у нас 1С при попытке сделать разрешение только начтение, просто перестает кого-либо пускать

хм... странно...
я когда пришел на работу в контору, где я работаю изначально стоило для всех чтение, а запись дана была только админам...
какой движок 1С?
22 ноя 05, 13:28    [2094479]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 2 3 4 [5] 6   вперед  Ctrl      все
Все форумы / Сравнение СУБД Ответить