powered by simpleCommunicator - 2.0.60     © 2026 Programmizd 02
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Форумы / ERP и учетные системы [игнор отключен] [закрыт для гостей] / Дыра в ERP системе.
32 сообщений из 32, показаны все 2 страниц
Дыра в ERP системе.
    #33486871
OlegW
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Всем привет. У нас на заводе идет внедрение ERP системы. Недавно, в результате тестирования одного модуля, появилась очень интересная ошибка.
В ее описании открыто написан логин для доступа на сервер и пароль!
......"server=AAAAAA;uid=bb;pwd=000;"......
Разработчики говорят, ничего страшного исправим......
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33486893
steplton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Это к чему ?
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33486905
OlegW
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Просто делюсь впечатлениями.
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33486915
TestPilot
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
OlegWВсем привет. У нас на заводе идет внедрение ERP системы. Недавно, в результате тестирования одного модуля, появилась очень интересная ошибка.
В ее описании открыто написан логин для доступа на сервер и пароль!
......"server=AAAAAA;uid=bb;pwd=000;"......
Разработчики говорят, ничего страшного исправим......

А что подразумевается под ее описанием? Это довольно распространенный подход, для запуска разных системных служб, которые должны подключаться к базе автоматически. Просто в этом случае подразумевается 1. что права доступа у этого логина ограничены 2. Сам доступ к серверу и месту где эти настройки сохранены открыт только нужным людям.
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33486921
steplton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
OlegWВсем привет. У нас на заводе идет внедрение ERP системы. Недавно, в результате тестирования одного модуля, появилась очень интересная ошибка.
В ее описании открыто написан логин для доступа на сервер и пароль!
......"server=AAAAAA;uid=bb;pwd=000;"......
Разработчики говорят, ничего страшного исправим......

Какая ерп, если не секрет ?
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33487001
LSV
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Нармальна. Главное, чтоб никто не натупил с широтой прав.
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33487128
OlegW
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
SyteLine.
Эта система требует права "sa" на SQL server.
Существует табл, в которую попадают все события в системе. С кратким описанием. В программе это отображается на определенной форме. И там как раз содержится описание. Само собой пользователи не имеют права на эту форму, но сам факт открытия пароля мне не нравится. Но я могу и ошибаться.
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33487300
Фотография Calm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
авторЭта система требует права "sa" на SQL server.
по-моему, это не хорошо. Мне как DBA было бы неприятно.
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33487894
Advisor
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Во многих системах тоже сделано отображение паролей, использующихся для автоматического подключение к базе данных. Это удобно - если подключение неустановилось, можно посмотреть причины. Другое дело, насколько эта информация доступна "простым смертным". Ведь таблица, о которой ты говоришь системная, и следовательно должна быть доступна только сисадмину ? Я думаю ничего страшного, что он увидит пароль, который и без того знает ? )
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33488431
sanknt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
OlegWSyteLine.
Эта система требует права "sa" на SQL server.
Существует табл, в которую попадают все события в системе. С кратким описанием. В программе это отображается на определенной форме. И там как раз содержится описание. Само собой пользователи не имеют права на эту форму, но сам факт открытия пароля мне не нравится. Но я могу и ошибаться.

а сорцов этой системы у тебя нету случайно?
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33488584
a40
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
авторВо многих системах тоже сделано отображение паролей, использующихся для автоматического подключение к базе данных.

Несомненно это так и это правильно. Но зачем же для этого привлекать учетную запись с максимальными правами? :(
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33488691
Фотография tygra
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Афигеть!!!

Кроме как через sa, никак не смогли сделать запись лога! Хорошие разработчики

-- Tygra's --
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33489328
Фотография Garya
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Я тоже очень эмоционально реагировал на подобные ситуации. Кстати, они происходят не только в SyteLine, но и во многих других продуктах, использующих MS SQL Server (не хочу показыать пальцем :) ). Лично меня они тоже в некоторой степени раздражают, но когда я анализирую их причины, то понимаю, что на поставщиков программных продуктов сильно обижаться нет смысла. Наверное, в большей степени имеет смысл обижаться на MS, которая не предоставила удобных механизмов интеграции встроенной в приложения системы безопасности с системой безопасности SQL Server (и это только "например").

Некоторый другой продукт, изначально разрабатывался под MS SQL Server версии 7.0. И когда появилась версия 2000 (вроде бы, совместимая с 7.0), оказалось, что устанавливаемый по умолчанию Collation с поддержкой unicode на версии 2000 не позволяет корректно работать этому приложению. То есть, нужно устанавливать ОТДЕЛЬНЫЙ СЕРВЕР с Collation Latin_1251_CI_AS, чтобы его можно было использовать. Еще один нюанс - это привязка системных учетных записей (логинов и юзеров) к механизмам разграничения доступа к объектам (на более высоком, "объектном" уровне). Для чего в большом количестве таблиц прописываются ссылки на идентификаторы системных учетных записей. Когда база данных переносится на другой сервер, все настройки безопасности слетают ко всем чертям, поскольку системные учетные записи и их идентификаторы там не соответствуют учетным записям на сервере-источнике. Для того, чтобы справиться с этой проблемой, приходится предпринимать по истине героические усилия. Кто в этом виноват - разработчик приложения или тот, кто придумал такую неудобную концепцию учетных записей в MS SQL Server для интеграции с нею встроенной в приложение системы безопасности? Я затрудняюсь точно ответить.

В таких условиях потребитель конкретного продукта вынужден под отдельный продукт устанавливать отдельный экземпляр MS SQL Server (или отдельный инстанс). Да, не удобно, да, зла не хватает... А кому легко? :)
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33489837
KGP
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
OlegWSyteLine.
Эта система требует права "sa" на SQL server.


1) эта система сама подставляет 'sa' в качестве логина и не дает его менять?
2) может хватит логина в правами dbo на эту базу данных?

PS: тут что-то о проблемах с collation в MS SQL server 2000 писалось, а изменить это свойство на базе данных не помогает?
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33491335
Фотография Garya
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
KGPPS: тут что-то о проблемах с collation в MS SQL server 2000 писалось, а изменить это свойство на базе данных не помогает?Нет. Более того, в настройках "Client network utility" на каждой рабочей станции требуется обязательно сбросить флажок "Use internationl settings", настройки которого влияют на коннекты с данного рабочего места к любым другим базам данных, например, другими приложениями.
В общем, не додумали. По большей части, в MS...
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33491993
Flare
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
tygraКроме как через sa, никак не смогли сделать запись лога! Хорошие разработчикиУж поверь, бывает и хуже %) Бывают системы работающие с большими СУБД (аля Oracle или MS SQL) и использующие СУБД только как хранилище таблиц. Без триггеров и ХП, не говоря уж о рекомендуемой MS win-аутентификации И гордо бьют себя пяткой в грудь и кричат, что у них ERP самое ERP-стое в мире
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33492668
Фотография Calm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
автор гордо бьют себя пяткой в грудь и кричат, что у них ERP самое ERP-стое в мире
Вы конечно же знаете, что это делается, чтобы не привязывать заказчика к конкретной СУБД и конкретной ОС.
Точнее, чтобы поиметь заказчиков с разными СУБД и ОС.
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33492699
Фотография 1024
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
авторВы конечно же знаете, что это делается, чтобы не привязывать заказчика к конкретной СУБД и конкретной ОС.
Точнее, чтобы поиметь заказчиков с разными СУБД и ОС.

нет, это делается само собой, бездумно. Просто некорректно спректировано в первой версии а в следующих исправлять уже нет возможности, работает и ладно
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33492875
KGP
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Garya "Client network utility" на каждой рабочей станции требуется обязательно сбросить флажок "Use internationl settings", настройки которого влияют на коннекты с данного рабочего места к любым другим базам данных, например, другими приложениями.

Может вы альтернативно могли с параметрами connection string поработать?
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33493320
Фотография Garya
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
KGPМожет вы альтернативно могли с параметрами connection string поработать?Если они были бы доступны у всех приложений, то смогли бы... :)
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33498544
аксаптер
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Уж поверь, бывает и хуже %) Бывают системы работающие с большими СУБД (аля Oracle или MS SQL) и использующие СУБД только как хранилище таблиц. Без триггеров и ХП, не говоря уж о рекомендуемой MS win-аутентификации

А вы представляйте себе как реализовать бизнес-логику этой самой системы на SQL в хранимых процедурах и триггерах? И как ее удобно будет модифицировать? И как весь этот хлам будет работать при переносе с MS SQL на Oracle?
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33498890
Фотография Calm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
авторА вы представляйте себе как реализовать бизнес-логику этой самой системы на SQL в хранимых процедурах и триггерах?

В форуме "Разработка информационных систем" был длиннющий топик на эту тему, более полутора десятков страниц. Правды не нашли :)
Предлагаю эту тему не развивать.
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33498929
Фотография tygra
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
2 Garya А надо привязывать к логинам, а не к id, тогда ничего не собьется :)

-- Tygra's --
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33499080
аксаптер
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
CalmВ форуме "Разработка информационных систем" был длиннющий топик на эту тему, более полутора десятков страниц. Правды не нашли :)
Предлагаю эту тему не развивать.

Читал.
Ок =)
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33564948
Flare
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Неточно выразился. Без триггеров, ХП и MIDDLE TIER.
Можете представить себе такую ERP-систему? А вот есть такое гавнецо. И продается, на удивление. Лохам ;)))
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33568748
SergueiF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
GaryaЯ тоже очень эмоционально реагировал на подобные ситуации. Кстати, они происходят не только в SyteLine, но и во многих других продуктах, использующих MS SQL Server (не хочу показыать пальцем :) ). Лично меня они тоже в некоторой степени раздражают, но когда я анализирую их причины, то понимаю, что на поставщиков программных продуктов сильно обижаться нет смысла. Наверное, в большей степени имеет смысл обижаться на MS, которая не предоставила удобных механизмов интеграции встроенной в приложения системы безопасности с системой безопасности SQL Server (и это только "например").

Некоторый другой продукт, изначально разрабатывался под MS SQL Server версии 7.0. И когда появилась версия 2000 (вроде бы, совместимая с 7.0), оказалось, что устанавливаемый по умолчанию Collation с поддержкой unicode на версии 2000 не позволяет корректно работать этому приложению. То есть, нужно устанавливать ОТДЕЛЬНЫЙ СЕРВЕР с Collation Latin_1251_CI_AS, чтобы его можно было использовать. Еще один нюанс - это привязка системных учетных записей (логинов и юзеров) к механизмам разграничения доступа к объектам (на более высоком, "объектном" уровне). Для чего в большом количестве таблиц прописываются ссылки на идентификаторы системных учетных записей. Когда база данных переносится на другой сервер, все настройки безопасности слетают ко всем чертям, поскольку системные учетные записи и их идентификаторы там не соответствуют учетным записям на сервере-источнике. Для того, чтобы справиться с этой проблемой, приходится предпринимать по истине героические усилия. Кто в этом виноват - разработчик приложения или тот, кто придумал такую неудобную концепцию учетных записей в MS SQL Server для интеграции с нею встроенной в приложение системы безопасности? Я затрудняюсь точно ответить.

В таких условиях потребитель конкретного продукта вынужден под отдельный продукт устанавливать отдельный экземпляр MS SQL Server (или отдельный инстанс). Да, не удобно, да, зла не хватает... А кому легко? :)

подозреваю, что это ИНФИН

думаю также, что проблема не МС, а ИНФИНА - привязка к Collation Latin_1251_CI_AS в своих внутренних справочниках
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33569982
Фотография Garya
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
2 SergueiF. У Вас в роду Штирлицев не было? :)
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33571261
SergueiF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Garya2 SergueiF. У Вас в роду Штирлицев не было? :)
берите выше, исключительно Мюллеры

когда-то парился с подобной фигней, она в одном из наших офисов до сих пор еще работает (что-то похожее было и с установкой на другой сервер). То что я писал ранее о причинах проблемы, всего лишь предположение. Интересно бы услышать мнение ALL
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33572228
mal_ora
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Flare Уж поверь, бывает и хуже %) Бывают системы работающие с большими СУБД (аля Oracle или MS SQL) и использующие СУБД только как хранилище таблиц. Без триггеров и ХП, не говоря уж о рекомендуемой MS win-аутентификации И гордо бьют себя пяткой в грудь и кричат, что у них ERP самое ERP-стое в мире

Можно продолжить анологию:
Если в машине не стоит форсированный движок от феррари то это га..., а не машина.
ОКА с установленным форсированым движком от феррари круче чем opel vectra, ведь движок у него некудышный, по сравнению с движком ferrari.
По моему гланое чтоб машина ездила, а не разваливалась на первом повороте.
По моему если у ERP с функциональностью и внедренцами все в порядке, с безопасностью все в порядке (пользователь вломать не сможет), скорость работы нормальная, маштабируемость хорошая. Зачем анализировать использует она ХП и тригеры или нет, это проблема уже разработчиков.
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33572235
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
ОКА с установленным форсированым движком от феррари круче чем opel vectra
==
А разве нет? Вы думаете самое главное в авто кузов? :)
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33572268
Flare
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
mal_oraПо моему гланое чтоб машина ездила, а не разваливалась на первом повороте.
По моему если у ERP с функциональностью и внедренцами все в порядке, с безопасностью все в порядке (пользователь вломать не сможет), скорость работы нормальная, маштабируемость хорошая. Зачем анализировать использует она ХП и тригеры или нет, это проблема уже разработчиков.Ну ездить и на телеге можно, в ДОСе например и достаточно успешно
А если, а если, а если...
А если с функциональностью и масштабируемостью проблемы, а скорость и безопасность - вообще полное "га..."(с), тогда что?
И вообще речь моя была не об этом. Я имел ввиду, что бывают продаются решения, гордо называемые "ERP-системами", в которых слоя данных нет вообще!
Например прямо из форм вызываются sqlcommands(!жестко там вписаны) типа 5 select'ов из разных таблиц, тянется все это на клиент и потом, например, там join'ится.
"Ездить" то такое "ездит" с горем пополам, но за такое же, как говорится, просто "об стену убивать надо"(с) :)
...
Рейтинг: 0 / 0
Дыра в ERP системе.
    #33575431
mal_ora
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
2 Flare

Я имею в виду, что ERP это комплексная система.
Если отсутсвие использования SQL на полную мощь не является узким местом для достижения основных целей, то это простительно.
Согласен, если система тормозит или взламывается или имеет место потеря данных, то ее можно обвинять в плохо спроектированом варианте взаимодействия клиента с сервером.
Т.е. обвинение надо начинать с фразы: при N подключениях все начинает висеть, ... и после этого говорить что это и-за того что плохо спроектирована.

Я это к тому, что надо судить о системе от результата, а не от реализации.

Как крайность, можно и на ХП и тригерах наворотить такое что SQL вешаться будет, но зато круто используется SQL ...
...
Рейтинг: 0 / 0
32 сообщений из 32, показаны все 2 страниц
Форумы / ERP и учетные системы [игнор отключен] [закрыт для гостей] / Дыра в ERP системе.
Найденые пользователи ...
Разблокировать пользователей ...
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]