|
|
|
Достать из .exe логин/пароль к базе
|
|||
|---|---|---|---|
|
#18+
[quot Conejo] Ну и как это поможет? Прога-то ни при чем, она как раз работает правильно. Проблемные записи были отредактированы в обход софта, они даже ID оператора не потрудились проставить, не то что IP компа)) Надо валидацию данных на уровне базы делать, чтобы не могли неправильные данные туда попасть ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2015, 13:58 |
|
||
|
Достать из .exe логин/пароль к базе
|
|||
|---|---|---|---|
|
#18+
Conejo2) Можно ли как-то этому противостоять? (с точки зрения разработчика. У него конечно есть исходник) Есть куча методов этому противостоять, среди которых один правильный: грамотно выдавать права. Так, чтобы злоумышленник, после бессонных ночей вытащивший логин-пароль, не смог бы сделать ничего, чего он не может сделать в интерфейсе программы без ковыряний со снифферами и дизассемблерами. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.11.2015, 13:11 |
|
||
|
Достать из .exe логин/пароль к базе
|
|||
|---|---|---|---|
|
#18+
ZeroMQСниффер ничего не перехватит, то есть. Отличная новость, спасибо! Тут уже проблема с архитектурой базы. Поле ID оператора как минимум должно быть внешним ключом и not null. Тогда при всем желании его не оставить незаполненным. Другой вопрос можно ли писать туда первое попавшееся значение ID. Это можно на уровне триггеров проверять. База должна в себе содержать всю бизнес логику. Нет гарантии что кто-то случайно или специально пришлет "delete from Table". Например прога сглючит и не допишет "where ..." Это не поможет в нашем случае. Запись может редактироваться больше 1-го раза, и ID оператора в этом случае уже не пусто, оно и останется тем же, а запись будет поправлена... я думал, это и была цель ТС. неа. Мы очень хотим продолжать сотрудничество с операторами, и с этими в том числе, но мы совсем не хотим, чтобы какие-то изменения в базе происходили в обход логики, которая зашита в программу. От этого много чего зависит... А как они зашли на сервер? Они действительно рылись в exe-файле, или есть какой-то известный всем логин с паролем? Рассказываю. Мы вчера это выяснили. Любая или почти любая программа написанная на с# (и наша не исключение) легко и непринужденно декомпилируется бесплатно распространяемой JetBrains dotPeek. Нажимаем кнопку и видим исходник с паролем в чистом виде! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.11.2015, 22:11 |
|
||
|
Достать из .exe логин/пароль к базе
|
|||
|---|---|---|---|
|
#18+
ConejoМы вчера это выяснили. Любая или почти любая программа написанная на с# (и наша не исключение) легко и непринужденно декомпилируется бесплатно распространяемой JetBrains dotPeek Если не секрет, сколько лет вы работаете с .NET? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.11.2015, 23:35 |
|
||
|
Достать из .exe логин/пароль к базе
|
|||
|---|---|---|---|
|
#18+
ConejoМы очень хотим продолжать сотрудничество с операторами, и с этими в том числе, но мы совсем не хотим, чтобы какие-то изменения в базе происходили в обход логики, которая зашита в программу. От этого много чего зависит... Тогда надо дать операторам удобный инструмент. Не от хорошей жизни они вашу прогу поломали. Как понимаю оператор сделал какую-то автоматизацию своей работы и т.к. прога не дала ни каких возможностей эту автоматизацию применить - пришлось избавится от проги. ИМХУ тут надо не пароль глубже прятать, а выяснить реальные потребности оператора и доработать прогу под эти потребности. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2015, 07:42 |
|
||
|
Достать из .exe логин/пароль к базе
|
|||
|---|---|---|---|
|
#18+
bazileЕсли не секрет, сколько лет вы работаете с .NET? Да не секрет - лично я вообще не работаю. Программы на C# писал начинающий программист-студент, который работал у нас полгода, сейчас их поддерживает системный администратор. bazileТогда надо дать операторам удобный инструмент. Не от хорошей жизни они вашу прогу поломали. Как понимаю оператор сделал какую-то автоматизацию своей работы и т.к. прога не дала ни каких возможностей эту автоматизацию применить - пришлось избавится от проги. ИМХУ тут надо не пароль глубже прятать, а выяснить реальные потребности оператора и доработать прогу под эти потребности. Удобство работы с операторами обсуждается. Имея пароль, можно не только свою работу делать, а много чего другого. В частности, если догадаться как, можно повлиять на расчет своей зарплаты (она сдельная). Конечно, мы это выясним достаточно быстро, но вот зачем нам лишняя работа и лишние проблемы? Наверно все-таки лучше повысить безопасность. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2015, 11:24 |
|
||
|
Достать из .exe логин/пароль к базе
|
|||
|---|---|---|---|
|
#18+
ConejoИмея пароль, можно не только свою работу делать, а много чего другого. Значит, пару лет назад надо было уволить архитектора (если он был) либо нанять архитектора (если его не было). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2015, 12:20 |
|
||
|
Достать из .exe логин/пароль к базе
|
|||
|---|---|---|---|
|
#18+
softwarerConejoИмея пароль, можно не только свою работу делать, а много чего другого. Значит, пару лет назад надо было уволить архитектора (если он был) либо нанять архитектора (если его не было).о чём вы вообще... ConejoПрограммы на C# писал начинающий программист-студент, который работал у нас полгода, сейчас их поддерживает системный администратор. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2015, 13:22 |
|
||
|
Достать из .exe логин/пароль к базе
|
|||
|---|---|---|---|
|
#18+
tanglirо чём вы вообще... ConejoПрограммы на C# писал начинающий программист-студент, Этому студенту кто-то ставил задачу, ревьюил код и принимал работу. Вот ему и надо.... привести служебное положение в соответствие квалификации. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2015, 13:46 |
|
||
|
Достать из .exe логин/пароль к базе
|
|||
|---|---|---|---|
|
#18+
Conejo1) Как достать логин/пароль? Если это может помочь, доп. информация - у злоумышленника есть обновляемый excel файл со строкой подключения в чистом виде, но с учеткой попроще, т.е. он изначально знает все параметры подключения, кроме админской учетки. Анализ кода и отладка в том или ином виде. Конкретный приемы можно поискать в поисковиках. ("Взлом <технология>") 2) Можно ли как-то этому противостоять? (с точки зрения разработчика. У него конечно есть исходник) [/quot] 1) Сделать взлом более сложным с помощью различных приемов (обфускация, динамическая генерация кода, приёмы защиты от отладки) 2) Сделать взлом принципиально невозможным - просто перенести на свой сервер бизнес логику и предоставлять услугу по предоставлению софта 3) Сделать взлом нерентабельным - дать людям то, что они хотят дешевле (в долгосрочной перспективе) чем взлом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2015, 14:37 |
|
||
|
Достать из .exe логин/пароль к базе
|
|||
|---|---|---|---|
|
#18+
softwarertanglirо чём вы вообще... пропущено... Этому студенту кто-то ставил задачу, ревьюил код и принимал работу. Вот ему и надо.... привести служебное положение в соответствие квалификации. Злые вы))) На данный момент - закрыли программу обфускатором, нарушителю выделили отдельную учетку с усиленным контролем. Надеюсь, пока хватит... Всем спасибо!!! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.11.2015, 15:42 |
|
||
|
|
start [/forum/topic.php?fid=16&msg=39112701&tid=1340864]: |
0ms |
get settings: |
11ms |
get forum list: |
17ms |
check forum access: |
5ms |
check topic access: |
5ms |
track hit: |
177ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
47ms |
get tp. blocked users: |
2ms |
| others: | 215ms |
| total: | 489ms |
| 0 / 0 |
