Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Всем привет. У нас на заводе идет внедрение ERP системы. Недавно, в результате тестирования одного модуля, появилась очень интересная ошибка. В ее описании открыто написан логин для доступа на сервер и пароль! ......"server=AAAAAA;uid=bb;pwd=000;"...... Разработчики говорят, ничего страшного исправим...... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 12:24 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Просто делюсь впечатлениями. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 12:38 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
OlegWВсем привет. У нас на заводе идет внедрение ERP системы. Недавно, в результате тестирования одного модуля, появилась очень интересная ошибка. В ее описании открыто написан логин для доступа на сервер и пароль! ......"server=AAAAAA;uid=bb;pwd=000;"...... Разработчики говорят, ничего страшного исправим...... А что подразумевается под ее описанием? Это довольно распространенный подход, для запуска разных системных служб, которые должны подключаться к базе автоматически. Просто в этом случае подразумевается 1. что права доступа у этого логина ограничены 2. Сам доступ к серверу и месту где эти настройки сохранены открыт только нужным людям. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 12:42 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
OlegWВсем привет. У нас на заводе идет внедрение ERP системы. Недавно, в результате тестирования одного модуля, появилась очень интересная ошибка. В ее описании открыто написан логин для доступа на сервер и пароль! ......"server=AAAAAA;uid=bb;pwd=000;"...... Разработчики говорят, ничего страшного исправим...... Какая ерп, если не секрет ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 12:44 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Нармальна. Главное, чтоб никто не натупил с широтой прав. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 13:19 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
SyteLine. Эта система требует права "sa" на SQL server. Существует табл, в которую попадают все события в системе. С кратким описанием. В программе это отображается на определенной форме. И там как раз содержится описание. Само собой пользователи не имеют права на эту форму, но сам факт открытия пароля мне не нравится. Но я могу и ошибаться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 13:52 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
авторЭта система требует права "sa" на SQL server. по-моему, это не хорошо. Мне как DBA было бы неприятно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 14:38 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Во многих системах тоже сделано отображение паролей, использующихся для автоматического подключение к базе данных. Это удобно - если подключение неустановилось, можно посмотреть причины. Другое дело, насколько эта информация доступна "простым смертным". Ведь таблица, о которой ты говоришь системная, и следовательно должна быть доступна только сисадмину ? Я думаю ничего страшного, что он увидит пароль, который и без того знает ? ) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.01.2006, 17:19 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
OlegWSyteLine. Эта система требует права "sa" на SQL server. Существует табл, в которую попадают все события в системе. С кратким описанием. В программе это отображается на определенной форме. И там как раз содержится описание. Само собой пользователи не имеют права на эту форму, но сам факт открытия пароля мне не нравится. Но я могу и ошибаться. а сорцов этой системы у тебя нету случайно? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.01.2006, 02:32 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
авторВо многих системах тоже сделано отображение паролей, использующихся для автоматического подключение к базе данных. Несомненно это так и это правильно. Но зачем же для этого привлекать учетную запись с максимальными правами? :( ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.01.2006, 09:19 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Афигеть!!! Кроме как через sa, никак не смогли сделать запись лога! Хорошие разработчики -- Tygra's -- ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.01.2006, 10:15 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Я тоже очень эмоционально реагировал на подобные ситуации. Кстати, они происходят не только в SyteLine, но и во многих других продуктах, использующих MS SQL Server (не хочу показыать пальцем :) ). Лично меня они тоже в некоторой степени раздражают, но когда я анализирую их причины, то понимаю, что на поставщиков программных продуктов сильно обижаться нет смысла. Наверное, в большей степени имеет смысл обижаться на MS, которая не предоставила удобных механизмов интеграции встроенной в приложения системы безопасности с системой безопасности SQL Server (и это только "например"). Некоторый другой продукт, изначально разрабатывался под MS SQL Server версии 7.0. И когда появилась версия 2000 (вроде бы, совместимая с 7.0), оказалось, что устанавливаемый по умолчанию Collation с поддержкой unicode на версии 2000 не позволяет корректно работать этому приложению. То есть, нужно устанавливать ОТДЕЛЬНЫЙ СЕРВЕР с Collation Latin_1251_CI_AS, чтобы его можно было использовать. Еще один нюанс - это привязка системных учетных записей (логинов и юзеров) к механизмам разграничения доступа к объектам (на более высоком, "объектном" уровне). Для чего в большом количестве таблиц прописываются ссылки на идентификаторы системных учетных записей. Когда база данных переносится на другой сервер, все настройки безопасности слетают ко всем чертям, поскольку системные учетные записи и их идентификаторы там не соответствуют учетным записям на сервере-источнике. Для того, чтобы справиться с этой проблемой, приходится предпринимать по истине героические усилия. Кто в этом виноват - разработчик приложения или тот, кто придумал такую неудобную концепцию учетных записей в MS SQL Server для интеграции с нею встроенной в приложение системы безопасности? Я затрудняюсь точно ответить. В таких условиях потребитель конкретного продукта вынужден под отдельный продукт устанавливать отдельный экземпляр MS SQL Server (или отдельный инстанс). Да, не удобно, да, зла не хватает... А кому легко? :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.01.2006, 13:31 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
OlegWSyteLine. Эта система требует права "sa" на SQL server. 1) эта система сама подставляет 'sa' в качестве логина и не дает его менять? 2) может хватит логина в правами dbo на эту базу данных? PS: тут что-то о проблемах с collation в MS SQL server 2000 писалось, а изменить это свойство на базе данных не помогает? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.01.2006, 16:21 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
KGPPS: тут что-то о проблемах с collation в MS SQL server 2000 писалось, а изменить это свойство на базе данных не помогает?Нет. Более того, в настройках "Client network utility" на каждой рабочей станции требуется обязательно сбросить флажок "Use internationl settings", настройки которого влияют на коннекты с данного рабочего места к любым другим базам данных, например, другими приложениями. В общем, не додумали. По большей части, в MS... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.01.2006, 12:07 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
tygraКроме как через sa, никак не смогли сделать запись лога! Хорошие разработчикиУж поверь, бывает и хуже %) Бывают системы работающие с большими СУБД (аля Oracle или MS SQL) и использующие СУБД только как хранилище таблиц. Без триггеров и ХП, не говоря уж о рекомендуемой MS win-аутентификации И гордо бьют себя пяткой в грудь и кричат, что у них ERP самое ERP-стое в мире ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.01.2006, 14:43 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
автор гордо бьют себя пяткой в грудь и кричат, что у них ERP самое ERP-стое в мире Вы конечно же знаете, что это делается, чтобы не привязывать заказчика к конкретной СУБД и конкретной ОС. Точнее, чтобы поиметь заказчиков с разными СУБД и ОС. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.01.2006, 17:59 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
авторВы конечно же знаете, что это делается, чтобы не привязывать заказчика к конкретной СУБД и конкретной ОС. Точнее, чтобы поиметь заказчиков с разными СУБД и ОС. нет, это делается само собой, бездумно. Просто некорректно спректировано в первой версии а в следующих исправлять уже нет возможности, работает и ладно ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.01.2006, 18:09 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Garya "Client network utility" на каждой рабочей станции требуется обязательно сбросить флажок "Use internationl settings", настройки которого влияют на коннекты с данного рабочего места к любым другим базам данных, например, другими приложениями. Может вы альтернативно могли с параметрами connection string поработать? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.01.2006, 19:36 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
KGPМожет вы альтернативно могли с параметрами connection string поработать?Если они были бы доступны у всех приложений, то смогли бы... :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.01.2006, 09:21 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
Уж поверь, бывает и хуже %) Бывают системы работающие с большими СУБД (аля Oracle или MS SQL) и использующие СУБД только как хранилище таблиц. Без триггеров и ХП, не говоря уж о рекомендуемой MS win-аутентификации А вы представляйте себе как реализовать бизнес-логику этой самой системы на SQL в хранимых процедурах и триггерах? И как ее удобно будет модифицировать? И как весь этот хлам будет работать при переносе с MS SQL на Oracle? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.01.2006, 00:25 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
авторА вы представляйте себе как реализовать бизнес-логику этой самой системы на SQL в хранимых процедурах и триггерах? В форуме "Разработка информационных систем" был длиннющий топик на эту тему, более полутора десятков страниц. Правды не нашли :) Предлагаю эту тему не развивать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.01.2006, 10:23 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
2 Garya А надо привязывать к логинам, а не к id, тогда ничего не собьется :) -- Tygra's -- ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.01.2006, 10:38 |
|
||
|
Дыра в ERP системе.
|
|||
|---|---|---|---|
|
#18+
CalmВ форуме "Разработка информационных систем" был длиннющий топик на эту тему, более полутора десятков страниц. Правды не нашли :) Предлагаю эту тему не развивать. Читал. Ок =) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.01.2006, 11:11 |
|
||
|
|
start [/forum/topic.php?fid=29&msg=33486905&tid=1528213]: |
0ms |
get settings: |
7ms |
get forum list: |
12ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
54ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
52ms |
get tp. blocked users: |
1ms |
| others: | 241ms |
| total: | 381ms |
| 0 / 0 |
