Главная
Новый форум
 FAQFAQ   SearchSearch   MemberlistMemberlist   UsergroupsUsergroups   RegisterRegister 
 ProfileProfile   Log in to check your private messagesLog in to check your private messages   Log inLog in 

Права на программирование в БЭСТ
Goto page 1, 2, 3, 4  Next
 
Post new topic   Reply to topic   printer-friendly view     Forum Index -> Программирование в БЭСТ-4
View previous topic :: View next topic  
Author Message
Марина



Joined: 27 Aug 2002
Posts: 501
Location: Кондрина Марина Александровна
Occupation: ОАО БКО программист
Interests: Боровичи Новгородской обл

PostPosted: 20 Oct 2005 08:48    Post subject: Права на программирование в БЭСТ Reply with quote

Хотелось бы обсудить вопрос безопасности.
Насколько я понимаю, сейчас любой пользователь имеет права в БЭСТ на написание своих плагинов (т е на полный доступ к любым файлам базы), а также на то, чтобы подменить, удалить любой плагин, написанный администратором, в Ctrl+F5. И это при том, что его права могут быть весьма ограничены в справочнике операторов
Права я или нет?
Back to top
View user's profile Send private message
Олег Смирнов



Joined: 06 Sep 2004
Posts: 821
Location: Олег Смирнов
Occupation: Раут (поганист-сисадмин)
Interests: Новосибирск

PostPosted: 20 Oct 2005 10:06    Post subject: Re: Права на программирование в БЭСТ Reply with quote

Марина wrote:
любой пользователь имеет права в БЭСТ на написание своих плагинов (т е на полный доступ к любым файлам базы), а также на то, чтобы подменить, удалить любой плагин, написанный администратором, в Ctrl+F5.

Я, конечно, не разработчик; но сильно похоже, что всё именно так и обстоит...
_________________
С уважением, Олег Р. Смирн
Back to top
View user's profile Send private message
Bestovichek



Joined: 22 Mar 2002
Posts: 257



PostPosted: 20 Oct 2005 10:15    Post subject: Reply with quote

т.е. любой кому чегодо не понравилось и решил навредить может написать плагин и "убить" базу данных!
просто виндовз 9х, когда любой пользователь может прибить системный каталог
Back to top
View user's profile Send private message Send e-mail
itman



Joined: 05 Apr 2002
Posts: 1247
Location: Ильин Е.Ю.
Occupation: Cio
Interests: Кинель

PostPosted: 20 Oct 2005 10:25    Post subject: Reply with quote

Похоже, от виря никто не будет застрахован
я предлагаю:
- изменить процедуру вызова спецфункции, скрыть от пользователя имя файла
- создать процедуру обслуживания файла feval.dbf
- Так как задача несложная, назначить премию за лучшее решение.
и включить ее в сервис пак

Внимание !!! "Курсанты", прошедшие обучение по initlist. Дерзайте!
Back to top
View user's profile Send private message Send e-mail
Марина



Joined: 27 Aug 2002
Posts: 501
Location: Кондрина Марина Александровна
Occupation: ОАО БКО программист
Interests: Боровичи Новгородской обл

PostPosted: 20 Oct 2005 11:06    Post subject: Reply with quote

itman wrote:
изменить процедуру вызова спецфункции, скрыть от пользователя имя файла

Может быть, можно сделать еще одно удобство. Почему при вызове по требованию мы идем всегда через Ctrl+F5, потом листаем список. Для частых операций это такая мутота! Ведь всегда есть пара-тройка свободных функциональных клавиш. Наверное можно было бы в каких-то случаях привязаться к ним, а разработчик перед входом например в реестр накладных учел бы эту привязку (хотя бы не меняя надписи под окном)

(Сейчас мне скажут, что это я могу сама реализовать вызовом другой спецфункции "по требованию". Тем не мене
Back to top
View user's profile Send private message
nordk



Joined: 27 Jun 2005
Posts: 1000
Location: Горбунов Константин
Occupation: БЭСТ-Партнер
Interests: СПб

PostPosted: 20 Oct 2005 11:17    Post subject: Reply with quote

Bestovichek wrote:
т.е. любой кому чегодо не понравилось и решил навредить может написать плагин и "убить" базу данных!
просто виндовз 9х, когда любой пользователь может прибить системный каталог


Есть более простые пути и были всегда.....но об этом на формуе я писать не буду.

Самое лучшее лекарство - это ежедневное копирование БД и сохранение ежедневных копий за ближайшие 2-3 месяца а дальше по копии в неделю
Back to top
View user's profile Send private message Send e-mail
shura_k



Joined: 10 Oct 2003
Posts: 342
Location: Александр
Occupation: Специалист
Interests: Калининград

PostPosted: 20 Oct 2005 11:20    Post subject: Reply with quote

Я этот вопрос втихоря поднимал и как результат в SP3 есть пароль на Ctrl+F5, посмотрите внимательно записку про новости SP.
Back to top
View user's profile Send private message
Марина



Joined: 27 Aug 2002
Posts: 501
Location: Кондрина Марина Александровна
Occupation: ОАО БКО программист
Interests: Боровичи Новгородской обл

PostPosted: 20 Oct 2005 11:25    Post subject: Reply with quote

Ежедневный backup поможет от вредительства, но не поможет от несанкционированного получения информаци
Back to top
View user's profile Send private message
Олег Смирнов



Joined: 06 Sep 2004
Posts: 821
Location: Олег Смирнов
Occupation: Раут (поганист-сисадмин)
Interests: Новосибирск

PostPosted: 20 Oct 2005 18:02    Post subject: Reply with quote

Bestovichek wrote:
т.е. любой кому чегодо не понравилось и решил навредить может написать плагин и "убить" базу данных!

Вообще говоря, "любой кому чегодо не понравилось", может убить базу и без написания плагина - просто с помощью FoxPro|Visual FoxPro|dbview и прочей всякой аналогичной хрени...
Если уже так необходимы чётко прописанные права и защита от advanced-вредителей - "нужно что-то менять в системе" - (C) - М.Жванецкий
Иными словами - тут надобно SQL-сервер, который позволяет юзерам работать с их приложениями, но не позволяет гадить в базах данных.
_________________
С уважением, Олег Р. Смирн
Back to top
View user's profile Send private message
Олег Смирнов



Joined: 06 Sep 2004
Posts: 821
Location: Олег Смирнов
Occupation: Раут (поганист-сисадмин)
Interests: Новосибирск

PostPosted: 20 Oct 2005 18:15    Post subject: Reply with quote

nordk wrote:
Самое лучшее лекарство - это ежедневное копирование БД

А чем помогут даже ежедневные копии, если advanced-вредитель поменяет документ "на лету"?.. Ну или в течение текущего дня.
_________________
С уважением, Олег Р. Смирн
Back to top
View user's profile Send private message
nordk



Joined: 27 Jun 2005
Posts: 1000
Location: Горбунов Константин
Occupation: БЭСТ-Партнер
Interests: СПб

PostPosted: 20 Oct 2005 18:57    Post subject: Reply with quote

Во-первых, SQL не такой уж и суперзащитный....
Также ломается как и вся винда и кстати говоря проводили тестовые испытания на предмет уронить его по питанию ПК допустим - падает за милую душу....что тады про Oracle заговорим ?
Насчет потерь налету - тут никто не застрахован - вынь питание из хаба в рабочее время и усе....
Тока один день потерять или скажем неделю - есть разница.

Спор бесконечен...
Вопросы то организационные и не надо в Б4+ такого думать.
Для отдельных решений или задач можно по месту определяться,
в зависимости от целей - кому ADS применить, где SQL-таблицы
через харбор

Б5 ближе к этому - кому принципиален будет такой вопрос - там и урегулируем.

Думаю здесь речь шла про простых операторов дабы убрать простейшее....Закроют паролем в третьем сервис-паке и ладно.
Back to top
View user's profile Send private message Send e-mail
Олег Смирнов



Joined: 06 Sep 2004
Posts: 821
Location: Олег Смирнов
Occupation: Раут (поганист-сисадмин)
Interests: Новосибирск

PostPosted: 20 Oct 2005 19:20    Post subject: Reply with quote

nordk wrote:
Во-первых, SQL не такой уж и суперзащитный....

"Ну всё-таки!" (Кто не понял - это из старинного, советских лет, анекдота:
- Ваша жена - б**дь!
- А ваша?!.
- Ну, всё-таки!)
nordk wrote:
что тады про Oracle заговорим?

Ещё раз: "Ну всё-таки!"
nordk wrote:
не надо в Б4+ такого думать.

Вообще говоря, и у меня такая точка зрения - ежели волнуют такие вопросы - надобно выбирать чего-то по-серьёзнее...
P.S.
nordk wrote:
проводили тестовые испытания на предмет уронить его по питанию ПК допустим - падает за милую душу...

Константин!.. Сервер без бесперебойника - это нонсенс, давайте не будем про питание - так можно всё, что угодно "уронить"...
_________________
С уважением, Олег Р. Смирн
Back to top
View user's profile Send private message
Марина



Joined: 27 Aug 2002
Posts: 501
Location: Кондрина Марина Александровна
Occupation: ОАО БКО программист
Interests: Боровичи Новгородской обл

PostPosted: 21 Oct 2005 09:15    Post subject: Reply with quote

Я смотрю, я не согласна со многими товарищами.
В БЭСТ существует система паролирования.
Никто по-моему и не считает ее защитой от грамотного вредительства. На мой взгляд, это защита от: 1)легкого и удобного несанкционированного получения информации 2)от случайного изменения информации людьми, которые будут ради интереса лазить по чужой информации и нажимать кнопки, которые не знают что сделают с этой информацией

A теперь посмотрим, что делает пароль на Ctrl+F5, сделанный в SP3.

Внутрь плагина мы и сами в принципе можем всадить пароль, причем отдельный для каждого плагина, или чтобы не набирать пароль часто, сделать проверку по _user_code и свой справочник разрешений работать с каждым плагином.

А вот справочник плагинов по-прежнему не защищен паролем SP3 от случайных действий пользователя и от их бестолковых нажатий. Они могут удалить редко используемый пункт. Они запросто могут вломиться по F11 в текст программы, что- то там бездумно нашлепать или стереть строки,даже случайно, выйти с записью, а за 2-3 месяца (которые Константин рекомендует хранить резервные копии) это может не обнаружиться, так как скорее всего никто не перекомпилирует и hrb-файл сохранится старым, пока в него не потребуется внести изменения. Вот тут-то программист-администратор и заметит, что текст программы в сущности утерян (если не хранит, кроме ежедневных копий PLIGINS, еще где-то отдельно твердые копии программ). Так что же это за среда программирования?

По-моему пароль на Ctrl+F5 в SP3 сделан неудачно и защищает не то, что нужно. Кроме того, если его и использовать, паролем мы запрещаем или открываем доступ ко всем плагинам сразу, что, согласитесь, тоже неудобно.
Back to top
View user's profile Send private message
Титов Александр



Joined: 26 Jul 2002
Posts: 975
Location: Титов Александр Александрович
Occupation: Компания БЭСТ
Interests: Москва

PostPosted: 21 Oct 2005 09:35    Post subject: Reply with quote

Марина wrote:

По-моему пароль на Ctrl+F5 в SP3 сделан неудачно и защищает не то, что нужно. Кроме того, если его и использовать, паролем мы запрещаем или открываем доступ ко всем плагинам сразу, что, согласитесь, тоже неудобно.

Доброе утро!
А как бы Вы сделали?
_________________
С уважением, Александр Титов, Компания БЭСТ, Москва, отдел разрабо
Back to top
View user's profile Send private message Visit poster's website
Марина



Joined: 27 Aug 2002
Posts: 501
Location: Кондрина Марина Александровна
Occupation: ОАО БКО программист
Interests: Боровичи Новгородской обл

PostPosted: 21 Oct 2005 09:50    Post subject: Reply with quote

Окучивая ранее сказанное, я бы поднапряглась и добилась следующего эффекта:

В справочнике плагинов кроме наименования, файла, параметров, типа вызова могут быть заданы в случае вызова по требованию:
- пароль на вызов плагина
- функциональная клавиша на плагин (для быстрого вызова его без Ctrl+F5 и долгого шагания по справочнику до нужного плагина).

При вызове через Ctrl+F5 на экран должен выводиться список наименований плагинов без указания файла (пользователя это не касается). (Надеюсь это список несекретный и защищать его паролем от просмотра не надо)

Для использования F4,Ctrl+Enter,F8,F11 в справочнике плагинов пользователь должен сперва ввести пароль SP3, если он зада
Back to top
View user's profile Send private message
Display posts from previous:   
Post new topic   Reply to topic   printer-friendly view     Forum Index -> Программирование в БЭСТ-4 All times are GMT + 4 Hours
Goto page 1, 2, 3, 4  Next
Page 1 of 4

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum


Powered by phpBB © phpBB Group

Rambler
Rambler's Top100 Рейтинг@Mail.ru