Права на программирование в БЭСТ
Select messages from
# through # FAQ
[/[Print]\]
Goto page 1, 2, 3, 4  Next  :| |:
-> Программирование в БЭСТ-4

#1: Права на программирование в БЭСТ Author: МаринаLocation: Кондрина Марина Александровна PostPosted: 20 Oct 2005 08:48
    —
Хотелось бы обсудить вопрос безопасности.
Насколько я понимаю, сейчас любой пользователь имеет права в БЭСТ на написание своих плагинов (т е на полный доступ к любым файлам базы), а также на то, чтобы подменить, удалить любой плагин, написанный администратором, в Ctrl+F5. И это при том, что его права могут быть весьма ограничены в справочнике операторов
Права я или нет?

#2: Re: Права на программирование в БЭСТ Author: Олег СмирновLocation: Олег Смирнов PostPosted: 20 Oct 2005 10:06
    —
Марина wrote:
любой пользователь имеет права в БЭСТ на написание своих плагинов (т е на полный доступ к любым файлам базы), а также на то, чтобы подменить, удалить любой плагин, написанный администратором, в Ctrl+F5.

Я, конечно, не разработчик; но сильно похоже, что всё именно так и обстоит...

#3:  Author: Bestovichek PostPosted: 20 Oct 2005 10:15
    —
т.е. любой кому чегодо не понравилось и решил навредить может написать плагин и "убить" базу данных!
просто виндовз 9х, когда любой пользователь может прибить системный каталог

#4:  Author: itmanLocation: Ильин Е.Ю. PostPosted: 20 Oct 2005 10:25
    —
Похоже, от виря никто не будет застрахован
я предлагаю:
- изменить процедуру вызова спецфункции, скрыть от пользователя имя файла
- создать процедуру обслуживания файла feval.dbf
- Так как задача несложная, назначить премию за лучшее решение.
и включить ее в сервис пак

Внимание !!! "Курсанты", прошедшие обучение по initlist. Дерзайте!

#5:  Author: МаринаLocation: Кондрина Марина Александровна PostPosted: 20 Oct 2005 11:06
    —
itman wrote:
изменить процедуру вызова спецфункции, скрыть от пользователя имя файла

Может быть, можно сделать еще одно удобство. Почему при вызове по требованию мы идем всегда через Ctrl+F5, потом листаем список. Для частых операций это такая мутота! Ведь всегда есть пара-тройка свободных функциональных клавиш. Наверное можно было бы в каких-то случаях привязаться к ним, а разработчик перед входом например в реестр накладных учел бы эту привязку (хотя бы не меняя надписи под окном)

(Сейчас мне скажут, что это я могу сама реализовать вызовом другой спецфункции "по требованию". Тем не мене

#6:  Author: nordkLocation: Горбунов Константин PostPosted: 20 Oct 2005 11:17
    —
Bestovichek wrote:
т.е. любой кому чегодо не понравилось и решил навредить может написать плагин и "убить" базу данных!
просто виндовз 9х, когда любой пользователь может прибить системный каталог


Есть более простые пути и были всегда.....но об этом на формуе я писать не буду.

Самое лучшее лекарство - это ежедневное копирование БД и сохранение ежедневных копий за ближайшие 2-3 месяца а дальше по копии в неделю

#7:  Author: shura_kLocation: Александр PostPosted: 20 Oct 2005 11:20
    —
Я этот вопрос втихоря поднимал и как результат в SP3 есть пароль на Ctrl+F5, посмотрите внимательно записку про новости SP.

#8:  Author: МаринаLocation: Кондрина Марина Александровна PostPosted: 20 Oct 2005 11:25
    —
Ежедневный backup поможет от вредительства, но не поможет от несанкционированного получения информаци

#9:  Author: Олег СмирновLocation: Олег Смирнов PostPosted: 20 Oct 2005 18:02
    —
Bestovichek wrote:
т.е. любой кому чегодо не понравилось и решил навредить может написать плагин и "убить" базу данных!

Вообще говоря, "любой кому чегодо не понравилось", может убить базу и без написания плагина - просто с помощью FoxPro|Visual FoxPro|dbview и прочей всякой аналогичной хрени...
Если уже так необходимы чётко прописанные права и защита от advanced-вредителей - "нужно что-то менять в системе" - (C) - М.Жванецкий
Иными словами - тут надобно SQL-сервер, который позволяет юзерам работать с их приложениями, но не позволяет гадить в базах данных.

#10:  Author: Олег СмирновLocation: Олег Смирнов PostPosted: 20 Oct 2005 18:15
    —
nordk wrote:
Самое лучшее лекарство - это ежедневное копирование БД

А чем помогут даже ежедневные копии, если advanced-вредитель поменяет документ "на лету"?.. Ну или в течение текущего дня.

#11:  Author: nordkLocation: Горбунов Константин PostPosted: 20 Oct 2005 18:57
    —
Во-первых, SQL не такой уж и суперзащитный....
Также ломается как и вся винда и кстати говоря проводили тестовые испытания на предмет уронить его по питанию ПК допустим - падает за милую душу....что тады про Oracle заговорим ?
Насчет потерь налету - тут никто не застрахован - вынь питание из хаба в рабочее время и усе....
Тока один день потерять или скажем неделю - есть разница.

Спор бесконечен...
Вопросы то организационные и не надо в Б4+ такого думать.
Для отдельных решений или задач можно по месту определяться,
в зависимости от целей - кому ADS применить, где SQL-таблицы
через харбор

Б5 ближе к этому - кому принципиален будет такой вопрос - там и урегулируем.

Думаю здесь речь шла про простых операторов дабы убрать простейшее....Закроют паролем в третьем сервис-паке и ладно.

#12:  Author: Олег СмирновLocation: Олег Смирнов PostPosted: 20 Oct 2005 19:20
    —
nordk wrote:
Во-первых, SQL не такой уж и суперзащитный....

"Ну всё-таки!" (Кто не понял - это из старинного, советских лет, анекдота:
- Ваша жена - б**дь!
- А ваша?!.
- Ну, всё-таки!)
nordk wrote:
что тады про Oracle заговорим?

Ещё раз: "Ну всё-таки!"
nordk wrote:
не надо в Б4+ такого думать.

Вообще говоря, и у меня такая точка зрения - ежели волнуют такие вопросы - надобно выбирать чего-то по-серьёзнее...
P.S.
nordk wrote:
проводили тестовые испытания на предмет уронить его по питанию ПК допустим - падает за милую душу...

Константин!.. Сервер без бесперебойника - это нонсенс, давайте не будем про питание - так можно всё, что угодно "уронить"...

#13:  Author: МаринаLocation: Кондрина Марина Александровна PostPosted: 21 Oct 2005 09:15
    —
Я смотрю, я не согласна со многими товарищами.
В БЭСТ существует система паролирования.
Никто по-моему и не считает ее защитой от грамотного вредительства. На мой взгляд, это защита от: 1)легкого и удобного несанкционированного получения информации 2)от случайного изменения информации людьми, которые будут ради интереса лазить по чужой информации и нажимать кнопки, которые не знают что сделают с этой информацией

A теперь посмотрим, что делает пароль на Ctrl+F5, сделанный в SP3.

Внутрь плагина мы и сами в принципе можем всадить пароль, причем отдельный для каждого плагина, или чтобы не набирать пароль часто, сделать проверку по _user_code и свой справочник разрешений работать с каждым плагином.

А вот справочник плагинов по-прежнему не защищен паролем SP3 от случайных действий пользователя и от их бестолковых нажатий. Они могут удалить редко используемый пункт. Они запросто могут вломиться по F11 в текст программы, что- то там бездумно нашлепать или стереть строки,даже случайно, выйти с записью, а за 2-3 месяца (которые Константин рекомендует хранить резервные копии) это может не обнаружиться, так как скорее всего никто не перекомпилирует и hrb-файл сохранится старым, пока в него не потребуется внести изменения. Вот тут-то программист-администратор и заметит, что текст программы в сущности утерян (если не хранит, кроме ежедневных копий PLIGINS, еще где-то отдельно твердые копии программ). Так что же это за среда программирования?

По-моему пароль на Ctrl+F5 в SP3 сделан неудачно и защищает не то, что нужно. Кроме того, если его и использовать, паролем мы запрещаем или открываем доступ ко всем плагинам сразу, что, согласитесь, тоже неудобно.

#14:  Author: Титов АлександрLocation: Титов Александр Александрович PostPosted: 21 Oct 2005 09:35
    —
Марина wrote:

По-моему пароль на Ctrl+F5 в SP3 сделан неудачно и защищает не то, что нужно. Кроме того, если его и использовать, паролем мы запрещаем или открываем доступ ко всем плагинам сразу, что, согласитесь, тоже неудобно.

Доброе утро!
А как бы Вы сделали?

#15:  Author: МаринаLocation: Кондрина Марина Александровна PostPosted: 21 Oct 2005 09:50
    —
Окучивая ранее сказанное, я бы поднапряглась и добилась следующего эффекта:

В справочнике плагинов кроме наименования, файла, параметров, типа вызова могут быть заданы в случае вызова по требованию:
- пароль на вызов плагина
- функциональная клавиша на плагин (для быстрого вызова его без Ctrl+F5 и долгого шагания по справочнику до нужного плагина).

При вызове через Ctrl+F5 на экран должен выводиться список наименований плагинов без указания файла (пользователя это не касается). (Надеюсь это список несекретный и защищать его паролем от просмотра не надо)

Для использования F4,Ctrl+Enter,F8,F11 в справочнике плагинов пользователь должен сперва ввести пароль SP3, если он зада



-> Программирование в БЭСТ-4


output generated using printer-friendly topic mod. All times are GMT + 4 Hours

Goto page 1, 2, 3, 4  Next  :| |:
Page 1 of 4

Powered by phpBB © 2001, 2005 phpBB Group