> Формат внешних обработок (ert) очень легко вычисляем, он > никак не шифруется и не сжимается, т.е. > фактически текстовый. Любой субъект [возможно и процесс], > который имеет доступ к этому файлу на запись может его > поправить как угодно, в частности внести туда строки с > вирусом. Сам вирус написать очень легко свой, а не > копировать существующий, поэтому по сигнатурам такие вирусы > найти нельзя! > > С другой стороны ert активно используются бухгалтерами для > отчетности, эти ert поставляются 1С-кой каждый квартал в > виде поддержки (грубо говоря). И в частности эти самые ert > пишут в файлы и запускают внешние приложения, поэтому по > этим действиям отследить вирус нельзя. ЗАЧЕМ и ЧТО они пишут в файлы? Зачем они запускают ВНЕШНИЕ приложения? Насколько я понимаю, документ 1С это что-то наподобие документа Excel, максимум из необходимых расширений которого - доступ к некоей внутренней (встроенной в 1С) базе данных. Я просто не вижу смысла разрешать макроязыку 1С запускать что-то стороннее, писать в файлы и тем более отсылать по сети. Если надо что-то кому-то отправить, пускай бухгалтера осваивают электронную почту. Если надо сохранить изменения в файле, пускай бухгалтер осваивает кнопку "сохранить", к которой макроязык не имеет доступа.
Насчёт поставляемых ert в качестве "поддержки". Как я понимаю, это что-то типа обычных апдейтов как самой 1С, так и базы, содержащихся в ней всяких там каталогов ОКОНХ (или как его) и прочее? Так если это обновление самой проги, пускай они это делают экзешником и реализуют это по аналогии с апдейтами от майкрософт. Всегда можно подсунуть пользователю гадость, но это уже проблемы пользователя. Нефиг запускать апдейты, скачанные с не официального сайта, или предоставленные не самой 1С. С тем же успехом пользователь может запустить любой левый exe'шник, не имеющий вообще никакого отношения к 1С, так что защищённость в этом случае не понижается.
Если же нужно просто обновить базу программы, то пускай они это делают по аналогии с reg-файлами в винде. ЗАЧЕМ разрешать им для этих целей писать что угодно куда угодно?
> --skiped-- > В 1С есть своя аутентификация и разрешения на пользование > объектами (документами, справочниками), в частности можно, > конечно, запретить пользоваться внешними обработками (ert), > но, как я говорил - бухам они очень даже нужны. Опять же, зачем они им нужны? Приведи пример.
> Пример: Пусть спарвочник "Контрагенты" - конфиденциален, я > манагер - мне надо его использовать, программа, которую я > использую должна уметь делать выборки по нему, т.е. уметь > его читать. С другой стороны любая программа умеет > записывать любую выбранную инфу во внешний файл и > передавать его по инету... Вот ЧТО здесь искать? Прога > может, конечно, слить конфиденциальную инфу, НО, мне, как > манагеру, хотелось бы отправить контрагенту по почте > прайс-лист (не конфиденциальный)... Действия м.б. в одном > случае корректными, а вдругом нет, и нету НИКАКОЙ > демаркации между ними. Все равно, что подобную проверку в > perl или в компилятор С встраивать... А управлять уровнем доступа до файла никак? Они могут держать какую-то внутреннюю базу с указанием уровня конфиденциальности конкретных файлов (можно хранить, например, подписи файлов) или использовать для этих целей систему прав доступа ОС и если файл конфеденциален, запрещать руками из самой 1С что-то с ними делать (изменять, копировать и пр.). Конечно, защита не ахти какая, но макровирус конфиденциальных данных уже не утянет.
|