#0
by VDLO
Стоит задача ограничить доступ к данным пользователя с административными привилегиями. Даже в большой степени вопрос как ему запретить редактировать роли и создать юзера с нужной ему ролью?
#0
by VDLO
Стоит задача ограничить доступ к данным пользователя с административными привилегиями. Даже в большой степени вопрос как ему запретить редактировать роли и создать юзера с нужной ему ролью?
#4
by VDLO
забрать не получиться ибо она программер. и ему все равно придеться кое что делать в конфигураторе.
#6
by Defender aka LINN
Дайте ей тогда базу без этих данных. Ограничивать в правах программиста в базе, в которой он пишет код - это какой-то клинический идиотизм.
#9
by dmpl
Программер себе даже с ролью ТолькоЧтение сможет полные права сделать. Достаточно все действия перенести в привилегированный модуль.
#12
by shuhard
в офисе нет ни одного вменяемого сотрудника, который обновит рабочую конфигурацию тем, что программист наклепал в инструментальной ?
#13
by petrowsky
так не давай ему доступа к рабочей базе, пусть работает в копии и только делает выгрузки того что навоял, а все его изменения обновляй сам
#14
by VDLO
есть такая идея - при запуске проверять соответствие ролей пользователя с тем что записано в справочнике и завершать прогу(что то подобное реализована в 1с консолидации )
#15
by vde69
Сделай копию базы и хранилице, обновляй из хранилища роботом. Это даст гарантию от необдуманых косяков, но 100% защиты ты не получишь
#20
by VDLO
вот в этом и трабла. ставить пароль на код? поставить таблице в Микроскуле только чтение ?
#28
by Defender aka LINN
И? Я просто вызов этой функции отключу, нафиг мне ваш модуль впился? :) Модуль приложения не запаролишь.
#31
by shuhard
ещё раз есть только один путь не программировать в продуктиве и не давать доступ программисту к базе на сиквеле
#32
by Галахад
Периодически подключайся к базе и проверяй список пользователей. Если что-то не так СМС + мэйл.
#41
by GLazNik
Если ты даже найдешь способ ограничить доступ, то специалист (Вам же нужен именно специалист). Это ограничение сможет обойти 100 и 1 способом.
#42
by Irbis
Ипатовским методом только. Ипать, ипать и еще раз ипать за каждое неверное телодвижение в рабочей базе.
#45
by hhhh
+ да, всё-таки лучший способ - взять программера девушку. Она точно не будет искать способы.
#50
by unregistered
Откройте для себя хранилище. Механизм автоматического резервного копирования и обновления рабочей конфигурации из хранилища реализован в типовых (ну или его можно допилить, чтобы обновлялась автоматом из хранилища). Прог ДОЛЖЕН работать только в базе разработки, где у него ДОЛЖНЫ быть полные права. Пускать прога в рабочую базу вообще нельзя. За данные отвечает только пользователь. При желании можно сделать полный обмен данными между рабочей базой и базой разработки (только получатель), если необходимо иметь актуальные данные для разработки и тестирования.
#56
by hhhh
но ведь если программер захочет навредить, он просто это сделает в программе, а эту программу запустит другой человек, который с полными правами.
#59
by VDLO
программер не захочет навредить, цель чтобы прогер не увидел часть данных который видеть не должен
#64
by pumbaEO
Ну слава богу. Посади его в темный подвал и еду выдавай еду по количеству строк кода. Обязательно монитор поставь не работающий.
#65
by unregistered
Навредить как? Если речь идёт о преднамеренных деструктивных действиях, то ни какая защита не поможет против программиста, который конфигурирует базу. Вообще ни какая. Прог может вставить обработчик любого события в любое место конфы и рано или поздно его деструктивный код сработает. При чем от имени другого пользователя.
#67
by unregistered
Всего-то 45 минут понадобилось, чтобы озвучить задачу... Мдаааа.... См. . В предложенном мною варианте при настройке обмена достаточно будет убрать из обмена те данные, которые прогу видеть нельзя.
#69
by unregistered
>> Нет таких данных. Программист как врач или адвокат - не доверяешь, увольняй. Это не так. Закрыть данные от прога можно.
#72
by GLazNik
не спорю, но тогда нужен еще один прог, который будет проводить аудит кода, который сделал этот прог.
#73
by unregistered
При настройке плана обмена определяется какие таблицы (справочники, регистры, документы) в обмене учавствовать не будут. Конечно это весьма проблематично, учитывая, что они не в вакууме висят, а связаны с другими объектами (таблицами). Но это уже надо смотреть конкретную задачу.
#74
by hhhh
нет нельзя, потому что этот код отправки нужных запретных данных программеру на мыло запустит главный бухгалтер.
#76
by GLazNik
ну формально можно вообще программисту данных не давать. Но это же не значит, что он не сможет сделать "черный ход". Возможно в обычной жизни ему это информация и даром то не сдалась, но запретный плод сладок
#77
by unregistered
Зачем аудит кода?... Мы исходим из того, что преднамеренного деструктивного кода писать прог не будет. Я позволю себе допущение, что преднамеренного кода для получения закрытой информации (например, потихому вывести закрытый справочник и отправить на нужное мыло) прог тоже писать не станет.
#78
by hhhh
то есть ты предлагаешь нанять двух программеров, один пишет план обмена, а другой всё остальное. ТОгда возникает вопрос - как ограничить права первого программера.
#81
by vde69
нельзя (конечно при разумном бюджете). есть только некоторые стимулы по которым сам прох не захочет видеть 1. лояльность + явный запрет 2. страх (например страшно узнать что на начальник охраны лично грохнул 10 сотрудников) 3. наличие сотрудников более высокой квалификации
#82
by unregistered
Да что за бред? Зачем другие какие-то программисты для написани яплана обмена? объясните мне тупому.
#83
by Галахад
Можно исходить из данных, что программист просто не будет смотреть секретные данные. Тогда и делать ничего не надо.
#85
by unregistered
Я исхожу из того, что программист не станет писать закладки, позволяющие получить данные из рабочей базы (к которой прямого доступа у него вообще нет).
#87
by unregistered
Программист не должен работать с рабочей базой. У него там даже аккаунта быть не должно. Прог работает только с базой разработки, где данные неполные.
#88
by GLazNik
Кодер - да. Но не всегда обязанности программиста ограничиваются только написанием кода. Поддержку пользователей как делать на не актуальных и не полных данных?
#89
by hhhh
а кто напишет этот план обмена? Уборщица? Или тупой админ? В общем есть только один вариант. НЕ брать никакого программера, а заказать всё во франче. Они всё сделают и уедут, и база им ваша не нужна.
#90
by Irbis
Логичная страховка на случай неоправдавшего доверия сотрудника. Смысл работать с теми, кому не доверяешь? >> Я исхожу из того, что программист не станет писать закладки То есть ты ему доверяешь, XNL
#92
by vde69
зря ты так думаешь, при формировании политики безопасности слет учитывать 2 статистические выкладки (к 1с никам они тоже относятся) 1. примерно 20% сотрудников являются не порядочными и осознано нарушают политику безопасности (даже не имея при этом личную выгоду) 2. 50% сотрудников пойдут на должностное преступление (например слив базы) за 50% своей годовой зп
#95
by unregistered
>> кто напишет этот план обмена? Тот же самый программист. Не вижу тут проблемы. В момент внедрения и настройки плана обмена за спиной прога может посидеть полдня сотрудник СБ, если там действительно какие-то большие секреты.
#98
by unregistered
просто есть большая разница между данными "лежащими на поверхности", которые можно просто так взять и посмотреть, когда приспичит, и теми данными, для получения доступа к которым надо предпринять ряд действий, сознательно нарушающих политику безопасности.
Тэги: 1С 8
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
В этой группе 1С
- Обращение к ТЧ
- v7: убрать колонки в журнале документов
- JOB: Насколько востребованы знания по ЗУП?
- БП 2.0, Корректировка записей регистров отсутствует ?
- Разовые начисления по часам
- Регистр накопления - Учет доходов для исчисления страховых взносов
- Табель учета рабочего времени в "1С:Комплексная автоматизация 8"
- Сдельный наряд в "1С:Комплексная автоматизация 8"
- Как перенести остатки по забалансовому счету из 7.7 в 8.2 (бюджет)?
- v7: ЗиК исправить Отпуск по уходу за ребенком
- Гиперссылка в табличном документе
- v7: Передать параметр из одной формы в другую
- v7: Не печатается наименование товара в ТОРГ-12
- Функция "ПравоДоступа"
- Кассовая книга не учитывает префикс организации
- Ошибка разделенного доступа к информационной базе....
- Как отловить событие активации элемента на форме?
- Значение перечисления по синониму перечисления?
- УТ 11.0.7.8 Пропала кнопка печати у продавца-кассира
- СКД: Отбор по периоду