panch Сергей84 Gluk (Kazan) panchКроме того с точки зрения защиты по крайней мере
7.7 очень спорная вещь.

Бесспорная Как может вызывать споры то чего нет ???
Буддизмом отдает :)
Для кого-то нет, а для кого-то есть - не все такие умные как вы!

А жалко пусть на одном компе и инет
и 1с который все время открыт
вот есть подозрение что можно написать страничку на HTML
что при заходе на нее в окрытом 1с запускается
например процедура глобального модуля
при этом знать пароли не обязательно
Судя вашей логике тогда все ИС не такие уж и безопасные ;)

P.S. прежде чем обсуждать что-то в системе не мешало бы почитать про решения проблем в этой области... (давно уже есть решения по шифрованию по аутентификации средствами винды и т.п.).

Забыл дописать, что дело за малым:
1 нужно знать глобальную процедуру
2 нужно знать как она работает и что выдает
3 необходимо куда то всетаки отправить данные возвращаемые процедурой

panch Сергей84Забыл дописать, что дело за малым:
1 нужно знать глобальную процедуру
2 нужно знать как она работает и что выдает
3 необходимо куда то всетаки отправить данные возвращаемые процедурой

возможно 1с и работает со всякими там DNA и SSL
но в без конкретизации ваш предыдущий ком
звучит неубедительно

был бы вам очень признателен за какой-нибудь намек
где в 1с это лежит

а про глобальные процедуры -
есть стандартно определенные глобальные процедуры
есть стандартные имена регистров и справочников
которые можно так взять и ....
страшно говорить

лутшее всего это все иметь ввиду и делать копии данных
вот несколько ссылок по безопасности 1С:
http://www.softpoint.ru/info.php?id=15 (к сожалению вы уже опоздали, но если мне прешлют доки с презентацией(во всяком случае обещали), то я смогу с вами поделиться, если так уж интересно)
http://ivn73.tripod.com/stat_security_admin.htm (к сожалению моя прокси меня почемуто не пропускает, но м\б сайт еще жив :) )

P.S. к сожалению некоторые имеющиеся у меня ссылки по безопасности не работают, м\б сайты переехали, но при желании вы сможете через яндекс много чего найти, так же рекомендую заглянуть на 1c.proclub.ru там неоднократно обсуждались вопросы безопасности на форумах, а так же в ветке "комерческие предложениях" звучали предложения по усилению безопасности, много чего есть полезного в ветке "архив разработок".

P.P.S Согласен есть стандартные названия регистров и гл процедур, только вот незадача, только конфигураций ТиС счас 938, и только последнии более или менее похожи начиная где-то с 930, так же не забываем о том, что конфигурация может быть самописная, или сильно переписанная Так что ваше предположение о уязвимости оч. похоже на уязвимость в маршрутизаторах CISCO, где во время обмена между 2-мя маршрутизаторами, которые нумеруют каждый пакет, можно угадать его номер и послать свой вредоносный пакет, который будет воспринят как оригинальный, только все это из области "знал бы прикуп - жил бы в сочи", т.е. из области фантастики.

panch Сергей84 panch Сергей84Забыл дописать, что дело за малым:
1 нужно знать глобальную процедуру
2 нужно знать как она работает и что выдает
3 необходимо куда то всетаки отправить данные возвращаемые процедурой

возможно 1с и работает со всякими там DNA и SSL
но в без конкретизации ваш предыдущий ком
звучит неубедительно

был бы вам очень признателен за какой-нибудь намек
где в 1с это лежит

а про глобальные процедуры -
есть стандартно определенные глобальные процедуры
есть стандартные имена регистров и справочников
которые можно так взять и ....
страшно говорить

лутшее всего это все иметь ввиду и делать копии данных
вот несколько ссылок по безопасности 1С:
http://www.softpoint.ru/info.php?id=15 (к сожалению вы уже опоздали, но если мне прешлют доки с презентацией(во всяком случае обещали), то я смогу с вами поделиться, если так уж интересно)
http://ivn73.tripod.com/stat_security_admin.htm (к сожалению моя прокси меня почемуто не пропускает, но м\б сайт еще жив :) )

P.S. к области фантастики.


сайт жив:)
но я немного про другое говорю
все-таки не зная пароля в MySQL запустить хранимую процедуру
нельзя ни через DDE ни через OLE.
Ну и что? Палюбому есть другие дыры для доступа :)
Если вас не устраивает безопасность 1С - я привел ссылки, где предлагают решения, так же можно найти их в инете, если например сделать аутентификацию средствами винды - да хоть дозапускайтесь глпроцедуры, все равно на уровне MSSQL вас не пропустит к данным, если правильно все навтроить :) Так же уже есть 8-ка, которая в этой области на порядок выше.

panchмы похоже говорим на разных языках

безопасность как они ее понимают обходится
очень легко с помощью человеческого фактора :)
предлагаем вначале подкуп
если не поможет - силовое воздействие
вот и вся безопасность
:)

вопрос другой - насколько безопасно держать 1с в сети
не опасна ли она вообще
как система
Как система она вполне безопасна при правильном использовании, если же дать доступ куда хочу - туда и лезу, тады жди проблем...
Самая большая опасность пользователи, как вы уже и написали, но это уже из др. области...

rmpЕсли так почитать, то всех кто участвует в этой дискуссии, можно поделить на 2 части. Первая -это люди, которые начинали свой путь с 1С, зарабатывают на бедных бухгалтерах, присадив их на иглу 1С, и для них ничего лучше чем 1С нет в этой жизни и самое страшное, что у них даже у сертифицированных франчей с регалиями от ЗАО "1С" нет элементарного понятие о теории баз данных о формах нормализации; они конечно будут говорить у нас 1С80 на MSSQL работает, а что такое QA или Profiler мало кто знает, поэтому попытки второй части программеров (которые начинали свой путь автоматизации не с 1С) объяснить это, все равно будут натыкаться на стену враждебности и похабные предложение 30 долл. в час или 100 долл.час написать биллинговую систему, мне кажется медицина может исследовать сей феномен как 1С-мания, кто-то из медиков может написать даже диссертацию на эту тему.
КГ\АМ
Во первых на думаю на этом форуме все хоть раз слышали о нормализации, и большинство об этом знает. ДА-ДА, все мы читаем умные книжки говорим о нормальизации, только вот на практике - дело намного хуже, ну не бывает идеальных БД полностью со всех сторон нармализированых, так же если вам так интересно поковыряйте др. системы - думаю с нормализацией вы в любой коробочной системе найдете проблемы с этим.
Во вторыйх игла 1С слишком преувеличина и преукрашена, т.к. любая ИС для предприятия игла, т.к. внедрение системы и работа на ней это столько сил и денег, что слазить уже никуда никто не хочет, вот поставьте себе скажим Axapt-у, завтра MS станет собирать дань с нее скажем по 100$ в мес - и будете платить никуда не денетесь, т.к. проще платить по 100 у.е. в мес, чем перейти на др. систему, т.к. сумма перехода будет не сопоставима с абон платой.
И чего вы придрались к 30 у.е. в час и 100 у.е. в час, стоимость SAP-ца вызвать кажется 1200 euro в день - и что? ну пойдете скажите им, чтоб они не оббирали бедных бухгалтеров.
При желании на 1С можно написать билинг, но кто возметься и будет ли это дешевле, чем на др. языках или купить готовый продукт - спорный вопрос.
Можно подумать, что 2-ая часть программеров работающая скажем с Парусом - все поголовно знают, что такое QA и Profiler :) Не надо наговаривать, всегда есть те, которые это знают и есть те кто не знают, и это знание\незнание не зависит от того с какой системы вы начали свой путь.
На счет защиты 1С - если кто-то нападает на ИС, всегда найдутся люди которые вполне дружат с этой ИС и будут ее защищать. Простой пример завидите 3 ветки, где напишите 1-я SAP *овно OESB рулит, 2-я Axapta *овно Navision рулит, 3-я BAAN *овно Галактика рулит - через несколько часов в каждой ветке появиться по несколько постов, где вам предложат принять мышьяк - так что не надо наговаривать, вам не нравиться - ваши проблемы.

P.S. каждая ИС имеет право на жизнь и на свою нишу в сфере бизнеса, и у каждой ИС есть свои последователи.

rmpЯ ни в коей мере не хотел оскорбить ваши чувства, просто если кто-то начинает автоматизировать свое предприятие. то лучше 100 раз подумать, а есть альтернатива 1С
все нормальные люди и думают, а есть те которые ведуться на красивые сказки внедренцев и потом жалуются, что сказка не стала явью

gybsonЧтобы защитить данные 1С, надо

1. Ограничить доступ к базе SQL-сервера.
2. Ограничить доступ к каталогу users, чтобы нельзя было стереть файлик users.def и зайти без пароля.

А потом молиться о том, что никто не вскроет MD и не достанет оттуда параметры доступа к БД.

P.S. Чтобы рассматривать 1С как СУБД, необходимо рассматривать SQL как файловую систему, тогда все встает на свои места. Вообще можно развести флейм на тему "MS SQL" не СУБД, файлы то ОС пишет.
Видимо вы совсем не разбираетесь в 1С.
1 - БД на MSSQL и так всегда ограничена - ее так просто не скопируешь
2 - На каталог users делаем только чтение - и все, все работают, но менять не могут
3 - Параметры доступа к 1С не в MD-ике хранятся. (скажу посекрету они хранятся еще и зашифрованом виде)

P.S. если хотите защитить 1С рекомендую сначала более подробно познакомиться с данным ПП, после чего почетить специализированные форумы, где полностью разжеваны методы защиты от несанкционированного доступа к 1С.

gybsonДоступ к БД на SQL всегда ограничен, но не для всех. Скажем можно сделать всех "нечаянно" локальными админами на сервере, ну или специально "Ну а че пусть фильмы качают".
хм...
мне кажется в таком случае - любая система беззащитна
вы бы еще дали бы права админов AD, а потом удивлялись, что у вас защита нарушена

P.S. в любом случае надо настраивать защиту, раздавать права и т.д. и т.п. в независимости от того 1С это или SAP...
если что-то пользователю не нужно для работы - запрети это и живи спокойно! :)

забыл добавить, про то, что можно достать параметры соединения 1С
скажем так несуществует абсолютной безопасности, т.к. и ХЭШ пароля винды можно перехватить и узнать пароль, и BackDoor сделать для солярки...
да чего говорить инет полон эксплоитов\генераторов вирусов и др. херней, счас даже ScriptKids - опасны, а вы говорите дать права админа на сервак...
эххх...

alexey_tm Сергей84[
2 - На каталог users делаем только чтение - и все, все работают, но менять не могут

Поделитесь секретом, как это сделать, у нас 1С при попытке сделать разрешение только начтение, просто перестает кого-либо пускать
хм... странно...
я когда пришел на работу в контору, где я работаю изначально стоило для всех чтение, а запись дана была только админам...
какой движок 1С?