Насколько надежен пароль в 1с #402127

Есть периферийные базы. Для обмена в них заведен пользователь robot с полными правами. Насколько сложно подобрать пароль, чтобы зайти под ним в конфигуратор? Еще вопрос, когда идет подключение к другой базе через ComObject = Новый ComObject("v81.COMConnector") в строке подключения указывается пользователь и его пароль. Существуют ли средства, отловить эти имя пользователя и пароль?

а зачем его подбирать, если можно в скрипте обмена посмотреть? %-)

все зависит от желания... ничего невозможного нету...

от терморектального криптоанализа никто не застрахован...

скрипт зашифровать можно

Как ты доберешься до скрипта обмена? Обмен запускается из другой базы

это понятно. Какая у человека для этого должна быть квалификация?

Он должен уметь пользоваться гуглем.

что есть специальные программки, которые подбирают имя пользователя и пароль для авторизации в 1с?

Уже обсуждалось... взлом производили за 20 минут.

если база файловая - как нефиг делать, если скульная то без доступа к таблицам скуля тяжело. хотя читал про уязвимость с повышениеп привелегий (когда пользователь создает нового пользователя с более высокими правами, и так до полных), не знаю профиксили или нет поищи MMF - он больше знает

нужен доступ к базе (в единственном лице) и какой-нить hex-редактор. Тогда пароль вообще не особо важен..

Есть способы которые просто убирают пароли. Но мы уже начинаем подходить к нарушению правил форума...

простой перебор по COM соединению не работате из-за таймаута, кроме того есть запатентованый мною метод защиты, в пароле использовать кавычки и двойные кавычки (будет затруднительно скрипт сделать)

и точно будешь знать, что взломали твою тайную базу...

почему?

потому что не будет паролей, или будут другие...

не паролей не будет, а пользователей. Это раз. Кроме того, по завершении работ, базу надлежит вернуть в исходное состояние.

+ и даже без брутфорса! :)

Базы на postgre Когда идет com-соединение, возможно ли как-то вытащить строку подключения, в которой указаны пользователь и пароль?

или так :) нужен доступ к папке bin (в единственном лице) и какой-нить hex-редактор. Тогда пароль вообще не особо важен

исходя из , можно сказать, что пароль надежный. т.к. где-то читал, что если взломщик затрачивает более 20 минут на взлом, то надежность защиты высокая.

это не в курсе. Пробовал только на файле БД.. не знаю, не пробовал :)

а... ну да... мало у меня опыту ))

если нету доступа к физическим таблицам и серверу (где сервак 1с стоит), то подломать совсем не просто, тут уже уровень когда не извесно что проще взломать, пароль доменного админа или 1с. Вопрос денег, на какую суммы взлома (своего времени) могут потратить потенцеальные взломщики? от этого и пляшите. зы при плохом админстве, пароль доменного админа получается в течении суток максисум, а дальше вариантов масса.

>>ComObject = Новый ComObject("v81.COMConnector") в строке подключения указывается пользователь и его пароль. Существуют ли средства, отловить эти имя пользователя и пароль? Надо просто никогда не указывать пароль в строке подключения, вместо этого, нужно настроить для пользователя robot Windows авторизацию в базе.

++ и тогда пусть kerberos ломают..

изначально в 8-ке пароли примитивно гаммировались ключем, хранящимся в первых 4 байтах потока юзеров, сами данные были в открытом. Где-то читал, что разработчики включили мозг и использовали хеширование паролей в 8.1. Сам не смотрел ибо нафиг. Учитывая любовь к повторному использованию кода, хеширование наверное как в 7.7. В этом случае относительно защищенными можно считать цифровые от 8 цифр, смешанные - от 6

+1 Пароль должен быть сложным, но коротким. Чтобы паяльник не успел нагреться

самое смешное, что делают кучу наворотов и т.д. а прокалываються на мелочи. Например надо было перенести ЗиК в другой домен (из чужой организации в нашу), у них там все шифруеться и т.д. короче наворотов полные штаны!!! попросил выгрузить базу 7.7 - дали, а нету регл. отчетности (и еще чего-то) попросил каталог скопировать - дали, я глядь а там пользователь sa и паролик простой (типа "123"), посмотрел порт 1433 не закрыт из вне, после этого подлом их базы "навижен" - занял 2 минуты :) сделал скрины и начальнику, уж не знаю чем закончилось... Если кто узнает свою ситуацию уж извените, я не со зла ...

зря спалился.. Повод слабоват. А сделал правильно :)