#0
by Dirk Diggler
Как проверить, совпадает ли некая введенная в поле ввода строка с паролем пользователя ИБ Васи Иванова?
#2
by ShoGUN
Использование: Только запись. Описание: Тип: Строка. Пароль, используемый при стандартной аутентификации. Доступность: Сервер, толстый клиент, внешнее соединение. ТОЛЬКО ЗАПИСЬ. Объяснить, почему?
#7
by Dirk Diggler
Дык в чем проблема? Метод Этопароль(Строка) возврашающий булево решил бы вопрос. Надо быстро идентифицировать сотрудника на АРМ. Подбежал Вася, решил сделать нечто. Сведения об операции должны быть записаны в РС. Перелогиниваться долго. Было бы просто - выбрал себя в списке справочника Пользователи, быстро вколотил пароль или штрихкод подсунул, и дальше побежал.
#10
by Rie
А зачем для этого пароль? Прибежал Вася, подсунул штрих-код - в РС записалось: "приходил В.Пупкин, сделал ТО-ТО".
#12
by Dirk Diggler
Фамилия больше нравится. Тем более, это городить еще сопоставление штрихкодов с васями... Но если больше ничего не придумаю, так и сделаем...
#16
by Dirk Diggler
Ну их потом в ИБ как-то записывать надо, пользюк сам уже так просто его не сменит и т.п. Костылей я и сам придумаю... Ладно. Закрываем вопрос.
#17
by ShoGUN
Учитывая "сложность" большинства паролей - запросто. Подобрать цифровой пароль из 8 цифр(дата рождения или ещё там какая) - в чём проблема?
#20
by ShoGUN
Хотя навредить конечно можно - например нагенерить случайных GUID-ов и поставить их вместо паролей ВСЕМ пользователям ))
#21
by MM
Устаревшие данные, смотрите свойство СохраняемоеЗначениеПароля, разумеется при наличии прав администратора или в привилегированном режиме.
#25
by Ахиллес
И чего? Там хэш. А по какой хэш-функции он вычисляется ты знаешь? Да не мудри ты. Тебе уж 2 раза сказали, подключайся по COM. Дёшево и сердито.
#29
by ShoGUN
Всё проще, ПользовательИнформационнойБазы.СохраняемоеЗначениеПароля доступно на чтение и запись. Примерно так: И транзакция не нужна...
#37
by PR
И что? Я так думаю, что это из-за того, что можно менять пароль. Но хеш я думаю хоть и записывается, но вычисляется сам.
#38
by ShoGUN
Ну дырка это, для админов. С помощью этой дырки можно сохранять полностью список пользователей наружу куда-нибудь и обратно восстанавливать. При этом пароли не светятся.
#40
by pumbaEO
Интересный вопрос: хеш для одного и того же пользователя и пароля одинаковый для разных баз?
#44
by ShoGUN
Чё-т я не понял, если соль случайная - как второй раз хэш вычислять при проверке пароля? :)
#46
by ShoGUN
Нельзя(точней очень сложно), но это и не требуется. Проверка пароля - односторонняя операция, тебе не нужно получать пароль из хранимого хэша, тебе нужно получить хэш из введенной строки и сравнить его с хранимым. Это простейший случай, конечно, правильная защита работает не так.
#47
by pumbaEO
соль пишется в /etc/shadow просто, для одного и того же пароля хеш и соль будет всегда разные, заранее набить табличку соответствия ключей хеш и пароль нереально получаеться. Т.е. к тебе попала запись из /etc/shadow брутфорсить надо заново. Вот и мне интерестно, если создать в двух разных базах 1-го пользователя и пароль один и тот же, будет ли совпадать хеши.
#49
by ShoGUN
Кстати, ещё одна причина, по которой Пароль доступен только на запись - он просто не хранится в бд, хранится только хэш.
#50
by pumbaEO
Все печально - хеш вычисляется только для пароля, не зависит от базы и имени пользователя. Ну в принципе это и не удивительно, если в 1С для пароля нету зависимости от регистра и больше чем 14 или 10 не отрабатываются. Так что берегите хеши директоров, а то злобные хакеры...
#51
by MM
Я вам ещё один секрет открою, там хранится не один хеш, а два. Причём первый рассчитан от пароля приведённого к верхнему регистру, чтобы брутфорс упростить. :)
#53
by PR
Кстати, не работает :)) Надо так: Пользователя нужно заново в базе искать, иначе хеш старый.
#54
by MMF
кстати, странная идея у 1С-ников насчет хранения 2-х хешей пароля (приведенного к верхнему регистру).
#57
by MMF
Можно легко сделать подмену пароля выбранных юзеров на какой-нить "123" и восстановление на старое значение после входа. Осуществить мечту зловредителей: зайти под недругом и напакостить в базе. К тому же часто пароли хранятся даже не в виде хеша, а в открытом виде в базах с длительной историей. Или пропатчить саму 1С, поскольку клиент проверяет можно ли ему заходить, а не сервер
#59
by pumbaEO
тут вроде sha1, а таблички уже набиты ... какой же тут брутфорса, получил хеш 1С вбил в инете - получил пароль.
#61
by Vladal
Конструкцию Можно записать в одну строку: ИПравдаВася = ХешВведенногоПароля = ХэшНастоящегоПароля;
#62
by TimonXPumbA
Собственно сам подбор можно описать так, может еще кто нибудь подскажет, как улучшить?
Тэги: 1С 8
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
- Написал обработку и поставил пароль. Давно было, пароль забыл. Что делать?
- Как проверить скопирован ли документ?
- Как узнать пароль пользователя 1С?
- Как проверить значение перечисления в запросе?
- Можно ли из 1С проверить пароль пользователя 1С?
- Не удалось проверить целостность app-sentx, код возврата -1073741819
- проверить товар на вхождение в список
- Как можно программно проверить пароль пользователя в 1С 8.х ?
- Изменить пароль администратора сервера 1С - забыли пароль
- Как убрать пароль на модуль обработки - пароль я знаю )))
- Создать пользователя ИБ из пользователя
- Как программно прочитать пароль пользователя ИБ?
В этой группе 1С
- Как обойтись без покупки терминальных лицензий? (без взломов, и хищей)
- v7: Как назначить реквизиту вид справочника
- Редактирование таблицы значений в 1с7.7
- программное изменение отбора в отчете на скд
- Программная запись адреса в ЗУПе
- Как в СКД отключить просмотр с включенной иерархией
- Атол ККМ В Windows 7 x64
- Поле не найдено "ВзаиморасчетыСКонтрагентами.ВидДвижения"
- ЗУП после увольнения сотрудника он продолжает попадать в выплату аванса
- Код модуля управляемого приложения
- Обмен УТ 11 и БП 2.0 в разрезе договоров
- Как заменить значение субконто в проводке без перепроведения документа?
- ЗУП Доплата за совмещение не попадает в базу для Северной надбавки
- Не сходится Регистр-расчет амортизации ОС с оборотно-сальдовой
- Отваливается клиент от сервера - пользователь подвисает
- Запретить копирование больших файлов.
- зависают процессы серверной отладки
- Установить привязки программно
- ЗУП выплата дивидентов
- v8: Объединение двух реквизитов в запросе в Один