Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Всем привет. У нас на заводе идет внедрение ERP системы. Недавно, в результате тестирования одного модуля, появилась очень интересная ошибка. В ее описании открыто написан логин для доступа на сервер и пароль! ......"server=AAAAAA;uid=bb;pwd=000;"...... Разработчики говорят, ничего страшного исправим...... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 12:24 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Просто делюсь впечатлениями. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 12:38 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
OlegWВсем привет. У нас на заводе идет внедрение ERP системы. Недавно, в результате тестирования одного модуля, появилась очень интересная ошибка. В ее описании открыто написан логин для доступа на сервер и пароль! ......"server=AAAAAA;uid=bb;pwd=000;"...... Разработчики говорят, ничего страшного исправим...... А что подразумевается под ее описанием? Это довольно распространенный подход, для запуска разных системных служб, которые должны подключаться к базе автоматически. Просто в этом случае подразумевается 1. что права доступа у этого логина ограничены 2. Сам доступ к серверу и месту где эти настройки сохранены открыт только нужным людям. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 12:42 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
OlegWВсем привет. У нас на заводе идет внедрение ERP системы. Недавно, в результате тестирования одного модуля, появилась очень интересная ошибка. В ее описании открыто написан логин для доступа на сервер и пароль! ......"server=AAAAAA;uid=bb;pwd=000;"...... Разработчики говорят, ничего страшного исправим...... Какая ерп, если не секрет ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 12:44 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Нармальна. Главное, чтоб никто не натупил с широтой прав. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 13:19 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
SyteLine. Эта система требует права "sa" на SQL server. Существует табл, в которую попадают все события в системе. С кратким описанием. В программе это отображается на определенной форме. И там как раз содержится описание. Само собой пользователи не имеют права на эту форму, но сам факт открытия пароля мне не нравится. Но я могу и ошибаться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 13:52 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
авторЭта система требует права "sa" на SQL server. по-моему, это не хорошо. Мне как DBA было бы неприятно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 14:38 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Во многих системах тоже сделано отображение паролей, использующихся для автоматического подключение к базе данных. Это удобно - если подключение неустановилось, можно посмотреть причины. Другое дело, насколько эта информация доступна "простым смертным". Ведь таблица, о которой ты говоришь системная, и следовательно должна быть доступна только сисадмину ? Я думаю ничего страшного, что он увидит пароль, который и без того знает ? ) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 17:19 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
OlegWSyteLine. Эта система требует права "sa" на SQL server. Существует табл, в которую попадают все события в системе. С кратким описанием. В программе это отображается на определенной форме. И там как раз содержится описание. Само собой пользователи не имеют права на эту форму, но сам факт открытия пароля мне не нравится. Но я могу и ошибаться. а сорцов этой системы у тебя нету случайно? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.01.2006, 02:32 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
авторВо многих системах тоже сделано отображение паролей, использующихся для автоматического подключение к базе данных. Несомненно это так и это правильно. Но зачем же для этого привлекать учетную запись с максимальными правами? :( ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.01.2006, 09:19 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Афигеть!!! Кроме как через sa, никак не смогли сделать запись лога! Хорошие разработчики -- Tygra's -- ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.01.2006, 10:15 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Я тоже очень эмоционально реагировал на подобные ситуации. Кстати, они происходят не только в SyteLine, но и во многих других продуктах, использующих MS SQL Server (не хочу показыать пальцем :) ). Лично меня они тоже в некоторой степени раздражают, но когда я анализирую их причины, то понимаю, что на поставщиков программных продуктов сильно обижаться нет смысла. Наверное, в большей степени имеет смысл обижаться на MS, которая не предоставила удобных механизмов интеграции встроенной в приложения системы безопасности с системой безопасности SQL Server (и это только "например"). Некоторый другой продукт, изначально разрабатывался под MS SQL Server версии 7.0. И когда появилась версия 2000 (вроде бы, совместимая с 7.0), оказалось, что устанавливаемый по умолчанию Collation с поддержкой unicode на версии 2000 не позволяет корректно работать этому приложению. То есть, нужно устанавливать ОТДЕЛЬНЫЙ СЕРВЕР с Collation Latin_1251_CI_AS, чтобы его можно было использовать. Еще один нюанс - это привязка системных учетных записей (логинов и юзеров) к механизмам разграничения доступа к объектам (на более высоком, "объектном" уровне). Для чего в большом количестве таблиц прописываются ссылки на идентификаторы системных учетных записей. Когда база данных переносится на другой сервер, все настройки безопасности слетают ко всем чертям, поскольку системные учетные записи и их идентификаторы там не соответствуют учетным записям на сервере-источнике. Для того, чтобы справиться с этой проблемой, приходится предпринимать по истине героические усилия. Кто в этом виноват - разработчик приложения или тот, кто придумал такую неудобную концепцию учетных записей в MS SQL Server для интеграции с нею встроенной в приложение системы безопасности? Я затрудняюсь точно ответить. В таких условиях потребитель конкретного продукта вынужден под отдельный продукт устанавливать отдельный экземпляр MS SQL Server (или отдельный инстанс). Да, не удобно, да, зла не хватает... А кому легко? :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.01.2006, 13:31 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
OlegWSyteLine. Эта система требует права "sa" на SQL server. 1) эта система сама подставляет 'sa' в качестве логина и не дает его менять? 2) может хватит логина в правами dbo на эту базу данных? PS: тут что-то о проблемах с collation в MS SQL server 2000 писалось, а изменить это свойство на базе данных не помогает? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.01.2006, 16:21 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
KGPPS: тут что-то о проблемах с collation в MS SQL server 2000 писалось, а изменить это свойство на базе данных не помогает?Нет. Более того, в настройках "Client network utility" на каждой рабочей станции требуется обязательно сбросить флажок "Use internationl settings", настройки которого влияют на коннекты с данного рабочего места к любым другим базам данных, например, другими приложениями. В общем, не додумали. По большей части, в MS... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.01.2006, 12:07 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
tygraКроме как через sa, никак не смогли сделать запись лога! Хорошие разработчикиУж поверь, бывает и хуже %) Бывают системы работающие с большими СУБД (аля Oracle или MS SQL) и использующие СУБД только как хранилище таблиц. Без триггеров и ХП, не говоря уж о рекомендуемой MS win-аутентификации И гордо бьют себя пяткой в грудь и кричат, что у них ERP самое ERP-стое в мире ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.01.2006, 14:43 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
автор гордо бьют себя пяткой в грудь и кричат, что у них ERP самое ERP-стое в мире Вы конечно же знаете, что это делается, чтобы не привязывать заказчика к конкретной СУБД и конкретной ОС. Точнее, чтобы поиметь заказчиков с разными СУБД и ОС. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.01.2006, 17:59 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
авторВы конечно же знаете, что это делается, чтобы не привязывать заказчика к конкретной СУБД и конкретной ОС. Точнее, чтобы поиметь заказчиков с разными СУБД и ОС. нет, это делается само собой, бездумно. Просто некорректно спректировано в первой версии а в следующих исправлять уже нет возможности, работает и ладно ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.01.2006, 18:09 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Garya "Client network utility" на каждой рабочей станции требуется обязательно сбросить флажок "Use internationl settings", настройки которого влияют на коннекты с данного рабочего места к любым другим базам данных, например, другими приложениями. Может вы альтернативно могли с параметрами connection string поработать? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.01.2006, 19:36 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
KGPМожет вы альтернативно могли с параметрами connection string поработать?Если они были бы доступны у всех приложений, то смогли бы... :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.01.2006, 09:21 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Уж поверь, бывает и хуже %) Бывают системы работающие с большими СУБД (аля Oracle или MS SQL) и использующие СУБД только как хранилище таблиц. Без триггеров и ХП, не говоря уж о рекомендуемой MS win-аутентификации А вы представляйте себе как реализовать бизнес-логику этой самой системы на SQL в хранимых процедурах и триггерах? И как ее удобно будет модифицировать? И как весь этот хлам будет работать при переносе с MS SQL на Oracle? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.01.2006, 00:25 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
авторА вы представляйте себе как реализовать бизнес-логику этой самой системы на SQL в хранимых процедурах и триггерах? В форуме "Разработка информационных систем" был длиннющий топик на эту тему, более полутора десятков страниц. Правды не нашли :) Предлагаю эту тему не развивать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.01.2006, 10:23 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
2 Garya А надо привязывать к логинам, а не к id, тогда ничего не собьется :) -- Tygra's -- ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.01.2006, 10:38 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
CalmВ форуме "Разработка информационных систем" был длиннющий топик на эту тему, более полутора десятков страниц. Правды не нашли :) Предлагаю эту тему не развивать. Читал. Ок =) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.01.2006, 11:11 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Неточно выразился. Без триггеров, ХП и MIDDLE TIER. Можете представить себе такую ERP-систему? А вот есть такое гавнецо. И продается, на удивление. Лохам ;))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.02.2006, 03:07 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
GaryaЯ тоже очень эмоционально реагировал на подобные ситуации. Кстати, они происходят не только в SyteLine, но и во многих других продуктах, использующих MS SQL Server (не хочу показыать пальцем :) ). Лично меня они тоже в некоторой степени раздражают, но когда я анализирую их причины, то понимаю, что на поставщиков программных продуктов сильно обижаться нет смысла. Наверное, в большей степени имеет смысл обижаться на MS, которая не предоставила удобных механизмов интеграции встроенной в приложения системы безопасности с системой безопасности SQL Server (и это только "например"). Некоторый другой продукт, изначально разрабатывался под MS SQL Server версии 7.0. И когда появилась версия 2000 (вроде бы, совместимая с 7.0), оказалось, что устанавливаемый по умолчанию Collation с поддержкой unicode на версии 2000 не позволяет корректно работать этому приложению. То есть, нужно устанавливать ОТДЕЛЬНЫЙ СЕРВЕР с Collation Latin_1251_CI_AS, чтобы его можно было использовать. Еще один нюанс - это привязка системных учетных записей (логинов и юзеров) к механизмам разграничения доступа к объектам (на более высоком, "объектном" уровне). Для чего в большом количестве таблиц прописываются ссылки на идентификаторы системных учетных записей. Когда база данных переносится на другой сервер, все настройки безопасности слетают ко всем чертям, поскольку системные учетные записи и их идентификаторы там не соответствуют учетным записям на сервере-источнике. Для того, чтобы справиться с этой проблемой, приходится предпринимать по истине героические усилия. Кто в этом виноват - разработчик приложения или тот, кто придумал такую неудобную концепцию учетных записей в MS SQL Server для интеграции с нею встроенной в приложение системы безопасности? Я затрудняюсь точно ответить. В таких условиях потребитель конкретного продукта вынужден под отдельный продукт устанавливать отдельный экземпляр MS SQL Server (или отдельный инстанс). Да, не удобно, да, зла не хватает... А кому легко? :) подозреваю, что это ИНФИН думаю также, что проблема не МС, а ИНФИНА - привязка к Collation Latin_1251_CI_AS в своих внутренних справочниках ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.02.2006, 17:47 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
2 SergueiF. У Вас в роду Штирлицев не было? :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.02.2006, 10:59 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Garya2 SergueiF. У Вас в роду Штирлицев не было? :) берите выше, исключительно Мюллеры когда-то парился с подобной фигней, она в одном из наших офисов до сих пор еще работает (что-то похожее было и с установкой на другой сервер). То что я писал ранее о причинах проблемы, всего лишь предположение. Интересно бы услышать мнение ALL ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.02.2006, 15:52 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Flare Уж поверь, бывает и хуже %) Бывают системы работающие с большими СУБД (аля Oracle или MS SQL) и использующие СУБД только как хранилище таблиц. Без триггеров и ХП, не говоря уж о рекомендуемой MS win-аутентификации И гордо бьют себя пяткой в грудь и кричат, что у них ERP самое ERP-стое в мире Можно продолжить анологию: Если в машине не стоит форсированный движок от феррари то это га..., а не машина. ОКА с установленным форсированым движком от феррари круче чем opel vectra, ведь движок у него некудышный, по сравнению с движком ferrari. По моему гланое чтоб машина ездила, а не разваливалась на первом повороте. По моему если у ERP с функциональностью и внедренцами все в порядке, с безопасностью все в порядке (пользователь вломать не сможет), скорость работы нормальная, маштабируемость хорошая. Зачем анализировать использует она ХП и тригеры или нет, это проблема уже разработчиков. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.02.2006, 23:46 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
ОКА с установленным форсированым движком от феррари круче чем opel vectra == А разве нет? Вы думаете самое главное в авто кузов? :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.02.2006, 23:56 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
mal_oraПо моему гланое чтоб машина ездила, а не разваливалась на первом повороте. По моему если у ERP с функциональностью и внедренцами все в порядке, с безопасностью все в порядке (пользователь вломать не сможет), скорость работы нормальная, маштабируемость хорошая. Зачем анализировать использует она ХП и тригеры или нет, это проблема уже разработчиков.Ну ездить и на телеге можно, в ДОСе например и достаточно успешно А если, а если, а если... А если с функциональностью и масштабируемостью проблемы, а скорость и безопасность - вообще полное "га..."(с), тогда что? И вообще речь моя была не об этом. Я имел ввиду, что бывают продаются решения, гордо называемые "ERP-системами", в которых слоя данных нет вообще! Например прямо из форм вызываются sqlcommands(!жестко там вписаны) типа 5 select'ов из разных таблиц, тянется все это на клиент и потом, например, там join'ится. "Ездить" то такое "ездит" с горем пополам, но за такое же, как говорится, просто "об стену убивать надо"(с) :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2006, 01:34 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
2 Flare Я имею в виду, что ERP это комплексная система. Если отсутсвие использования SQL на полную мощь не является узким местом для достижения основных целей, то это простительно. Согласен, если система тормозит или взламывается или имеет место потеря данных, то ее можно обвинять в плохо спроектированом варианте взаимодействия клиента с сервером. Т.е. обвинение надо начинать с фразы: при N подключениях все начинает висеть, ... и после этого говорить что это и-за того что плохо спроектирована. Я это к тому, что надо судить о системе от результата, а не от реализации. Как крайность, можно и на ХП и тригерах наворотить такое что SQL вешаться будет, но зато круто используется SQL ... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.03.2006, 01:14 |
|
||
|
|
start [/forum/topic.php?all=1&fid=29&tid=1528213]: |
0ms |
get settings: |
10ms |
get forum list: |
16ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
53ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
79ms |
get tp. blocked users: |
2ms |
| others: | 264ms |
| total: | 441ms |
| 0 / 0 |
