#0
by artik2
Есть периферийные базы. Для обмена в них заведен пользователь robot с полными правами. Насколько сложно подобрать пароль, чтобы зайти под ним в конфигуратор? Еще вопрос, когда идет подключение к другой базе через ComObject = Новый ComObject("v81.COMConnector") в строке подключения указывается пользователь и его пароль. Существуют ли средства, отловить эти имя пользователя и пароль?
#8
by artik2
что есть специальные программки, которые подбирают имя пользователя и пароль для авторизации в 1с?
#10
by vde69
если база файловая - как нефиг делать, если скульная то без доступа к таблицам скуля тяжело. хотя читал про уязвимость с повышениеп привелегий (когда пользователь создает нового пользователя с более высокими правами, и так до полных), не знаю профиксили или нет поищи MMF - он больше знает
#11
by Дуб
нужен доступ к базе (в единственном лице) и какой-нить hex-редактор. Тогда пароль вообще не особо важен..
#12
by Garlic
Есть способы которые просто убирают пароли. Но мы уже начинаем подходить к нарушению правил форума...
#13
by vde69
простой перебор по COM соединению не работате из-за таймаута, кроме того есть запатентованый мною метод защиты, в пароле использовать кавычки и двойные кавычки (будет затруднительно скрипт сделать)
#17
by Дуб
не паролей не будет, а пользователей. Это раз. Кроме того, по завершении работ, базу надлежит вернуть в исходное состояние.
#19
by artik2
Базы на postgre Когда идет com-соединение, возможно ли как-то вытащить строку подключения, в которой указаны пользователь и пароль?
#20
by ASV
или так :) нужен доступ к папке bin (в единственном лице) и какой-нить hex-редактор. Тогда пароль вообще не особо важен
#21
by НЕА123
исходя из , можно сказать, что пароль надежный. т.к. где-то читал, что если взломщик затрачивает более 20 минут на взлом, то надежность защиты высокая.
#24
by vde69
если нету доступа к физическим таблицам и серверу (где сервак 1с стоит), то подломать совсем не просто, тут уже уровень когда не извесно что проще взломать, пароль доменного админа или 1с. Вопрос денег, на какую суммы взлома (своего времени) могут потратить потенцеальные взломщики? от этого и пляшите. зы при плохом админстве, пароль доменного админа получается в течении суток максисум, а дальше вариантов масса.
#25
by DmitrO
>>ComObject = Новый ComObject("v81.COMConnector") в строке подключения указывается пользователь и его пароль. Существуют ли средства, отловить эти имя пользователя и пароль? Надо просто никогда не указывать пароль в строке подключения, вместо этого, нужно настроить для пользователя robot Windows авторизацию в базе.
#27
by MMF
изначально в 8-ке пароли примитивно гаммировались ключем, хранящимся в первых 4 байтах потока юзеров, сами данные были в открытом. Где-то читал, что разработчики включили мозг и использовали хеширование паролей в 8.1. Сам не смотрел ибо нафиг. Учитывая любовь к повторному использованию кода, хеширование наверное как в 7.7. В этом случае относительно защищенными можно считать цифровые от 8 цифр, смешанные - от 6
#29
by vde69
самое смешное, что делают кучу наворотов и т.д. а прокалываються на мелочи. Например надо было перенести ЗиК в другой домен (из чужой организации в нашу), у них там все шифруеться и т.д. короче наворотов полные штаны!!! попросил выгрузить базу 7.7 - дали, а нету регл. отчетности (и еще чего-то) попросил каталог скопировать - дали, я глядь а там пользователь sa и паролик простой (типа "123"), посмотрел порт 1433 не закрыт из вне, после этого подлом их базы "навижен" - занял 2 минуты :) сделал скрины и начальнику, уж не знаю чем закончилось... Если кто узнает свою ситуацию уж извените, я не со зла ...
Тэги:
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
В этой группе 1С
- Размер файла подкачки на терминальном сервере :)
- не могу понять как программно создать документ "корректировка записей регистра"
- v7: Начисление "хитрой " премии в ЗУП 2.5(Помогите разобраться как сделать)
- Работа с ТЧ, заполняемой из регистра сведений.
- Размер файла подкачки на SQL сервере.
- Сигнал об Окончание испытательного срока сотрудника ЗУП
- Ошибка при формирование книги учета доходов и расходов
- Значение не является значением объектного типа (Метаданные)
- как изменить строку?
- Как без перебора скопировать табличную часть документа в дерево значений?
- Отрицательная себестоимость. Что делать?
- v7: Книга Продаж записи аванса от покупателя
- Несколько таблиц в настройке (СКД)
- Группировки в табличном документе.
- Горячая клавиша для иерархического просмотра
- БП : реализация без перехода права собственности
- ЗУП: в 4-ФСС не попадают декретные?
- Где хранятся имена констант?
- Как отучить базу 1С от УРБД ?
- Использование ADO в 1с 8.х, помогите разобраться