Дыра в 1С восьмерке #13383

гуляет по инету Все данные подключения к серверу SQL (имя сервера, логин, пароль и т.п.) хранятся в текстовом файле открытым текстом на сервере приложение 1С 8 по пути: C:Documents and SettingsAll UsersApplication Data1C1Cv8srvrib.lst Как известно, в каталог "All users" имеют доступ все пользователи. Т.е. любой пользователь сети сможет ими воспользоваться.

Только узнал об этом? А еще некоторые орут, что там есть РЛС ..... и запрещают ковырять мне в носу пальцем...

ко мне стали обращаться, как будто это я извоял, а не 1С, вот и вынес сюда кстати, сама 1С отказалась давать комментарии пока

хе-хе... Скоро якобы зашифруют.... XOR-om... Там и еще прикольчики есть...

Ну уж говори, если можешь по существу

Да... Не знал? Видно восьмеркой совсем мало занимаешься. Этой "новости" в отрытой публикации скоро год... В последней ветке, кстати, и ответ 1С есть...

Борис Николаевич, моей конторе по профилю 1С ну ни как не следует заниматься, уж пардоны, вот я и "партизаню"

2Demiurg: И чем Вам ответы не нравятся ?

Тем, что я не могу ответить своим заказчикам так, как отвечают здесь, дорогой Кексик

Да, к большому сожалению, так. Если серьезно встал вопрос безопасности, я думаю, тебя ждет пока очень много разочарований. Когда закончатся детские игры, можно будет о чем-то говорить. И о модульности, и о RLS.

Почему?

ИзЮмляет аргументация товарисчей ZAV'а и пр. ...

2Demiurg&SnarkHunter: Еще раз повторю, если пользователь получил доступ к служебным файлам на сервере, то шифрование тут не спасет ! Он еще и файлы БД может утащить, они же не шифруются !

Ок. Я понимаю, это позиция.

2SnarkHunter: Приведи способ шифрации который спасет от похищения данных ?

Это бессмысленный спор...

Согласен с ZAV`ом полностью.. Наши защищать сервер... Наверное еще и на каждом компе есть информация этаже... Может сразу всё компы замуруем куда нибудь и будем счастливы сто их ниххххто не взломает?? Вариант 1С конечно не фонтан... Ну что то типа HASH`а уж могли бы сделать.. Лень ребятам а нам расхлебывай..

2SnarkHunter: Согласен, только причины разные. У тебя нет аргументов и предложений как решить проблему. Я же описываю почему так сделано. 2ZyXEL: Как ты думаешь, через какое время появится тулза для расшифровки ? :)

:) как только человек найдет файлик :) notepad?? :))

Приколы типа как раз и дают повод пнуть фирму в одно место... Был бы элементарный хеш - формально повода нет. Сейчас же можно открыто издеваться - после все слова о наличии системы контроля доступа - бред собачачий...

427: Тогда все бы издевались, вот 1Совцы лохи, зашифровать по нормальному не могли. Поэтому, лучше пусть сразу админы безопасностью озаботятся.

Александр, на самом деле это бессмысленный спор, тем более тут. Слава (Demiurg) сильно обеспокоен вопросами безопасности системы на уровне ОС и железа, поэтому для него такое решение равносильно записи пароля на бумажке на мониторе в серверной, и в какой-то степени он прав. На сколько это его желание соответствует требованиям безопасности, принятыми в его компании, дистанционно сказать невозможно, поэтому такая его оценка ситуации вполне имеет право на жизнь. Вопрос на самом деле вовсе не праздный.

Ну, при наличии их по другому и назвать то трудно... Это же как надо не думать.. Просто это достаточно актуальный вопрос - и хотелось бы, чтобы столь явных семерочных проколов все таки не было. Достают они в 7 сильно. P.S. - а этот прокол наверняка уберут. И никто слова плохого не скажет... Нельзя же на борделе вешать красный фонарь, освещающий весь город...

Наличие/отсутствие моих аргументов не имеет никакого значения. Описание "почему так сделано", на мой взгляд, больше похоже на попытку сохранить хорошую мину... Предложения? Не вижу смысла, ведь есть аргументированное объяснение "почему так сделано"...

Размышления моих коллег: ...Судя по ответу, в 1с не задумываются о варианте, когда сервер приложения 1с установлен на терминальный сервер, который они так рьяно пропогандируют. У меня был интересный случай: на момент проектирования конторской ИТ инфраструктуры, т.к. я не был знаком с 1с 8.0, я задал их суппорту вопрос о том можно ли устанавливать серевер приложений 1с 8.0 на терминальный сервер. Они ответили что при том количестве пользователей, которое я указал для этого НЕТ НИКАКИХ противопоказаний. Я сам конечно понимаю, что на терминальный сервер такого плана софт устанавливать крайне не желательно, но при ограниченном бюджете возможно и такое. Например когда люди используют SBS 2000... ...что касается шифрования и защиты - оно возможно, с использованием API доступа в защищенное хранилище профиля пользователя (Protected Storage). При этом уровень защиты будет такой же, как и для системных ключей, например. Другой вопрос, что "программистам" из 1С это, видимо, представляется совсем заоблачной технологией...

2Demiurg: Где 1С пропагандирует сервер терминалов ? Проблема доступа к этому файлу легко решается установкой прав на этот файл. А про Protected Storage по подробней можно ?

Читать то ты его не запретишь...

Видишь ли... Это тебе не pit'a пинать... Прежде, чем о чем-то писать, нужно бы и с теорией вопроса хоть как-то ознакомиться.   Есть в этом вопросе одна проблема. Все дыры и (или) проблемы в системе безопасности должны быть изложены в руководстве по установке системы. Назови страницу руководства, где написано, что нужно установить эти права. Можно ссылку на конференцию 1С и (или) раздел для разработчиков, где это написано. Если этого нет, извини, это действительно дыра в системе безопасности, и Demiurg на 100% прав, что поднял этот вопрос.

Борь, так аргументов на пинки у него нет... и не было Собака лает - караван идет (с) Среднеазиатская мудрость...

427: Это почему ? Могу и чтение запретить ! BorisG: Про доку согласен.

Шутку оценил... Но 3D-юмор приятнее...

да, дорогой, конечно

А при чем тут Microsoft Windows CE 5.0 ??? Это для Windows 2003 Server есть ?

CE, аль не CE, захочешь разберешься, в СЕ многие вещи еще более просты, чем в "последних шедеврах" M$

еще узнай, что такое API :))))

Не стоит так переживать... Это общепринятая практика. Если можно унести файл базы данных - данные из него получишь в любом случае.

Сцылку не заметил. Ну и что это меняет ? Если ключи будут доступны, то и расшифруют быстро ! А ключик не спрячешь, приложение то должно файл раскриптовать !

36, 37 я бы вас может быть и понял :), а вот мои клиенты - нет

А ключ можно сделать менее доступным...

бесполезно, этим надо заниматься, им ты не объяснишь, пока сами не захотят разобраться (ИМХО), и без обид

А я уже это понял и после нескольких ответов "ПНХ" от линии консультаций завязал...

Может быть ты продашь свой "толково-уместный цитатник" ? ;) Было бы время - лазил бы форуму, записывал твои "эссе"

Недальновидно. Понятно, что на любой сейф найдется "медвежатник". Но, если ключ рядом на гвозде висит, открыть его может всякий любитель поживиться. А таких на несколько порядков больше, чем "медвежатников". Это я к тому, что SQL-базу без знания пароля еще уметь прочесть надо. А если пароль открытым текстом рядом лежит...

Спросил у "авторитета" :)

хе-хе.. особо понравилось что покупают по мнению Озона, что с этой книгой покупают :-) Жаль книги нет "Танцы с бубном. Часть 1-ая"

Цитирую ozon: " С этим товаром часто покупают Танец живота. Вторая ступень мастерства Кьелл А. Нордстрем, Йонас Риддерстрале Бизнес в стиле фанк. Капитал пляшет под дудку таланта   Дживс и Вустер. Серии 1, 2   Школа танца живота для начинающих   Дживс и Вустер. Серии 3, 4   Учимся танцевать. Клубные танцы 1. House/Hip-Hop. Базовые движения   Калланетик - пластическая гимнастика. Секреты красоты   Пластическая гимнастика Калланетик   Учимся танцевать. Клубные танцы 2. R`n`B. Базовые движения   Дживс и Вустер. Серии 5, 6   "

Я нашел хорошую страницу с критикой платформы 1С 8.0