информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsЗа кого нас держат?Spanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Очередной юбилей Linux 
 HP закрыла 16-летнюю уязвимость... 
 Microsoft советует пользователям... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Я тоже не специалист 1С и мне тоже сложно понять 20.06.05 14:46  Число просмотров: 1722
Автор: Heller <Heller> Статус: Elderman
<"чистая" ссылка>
> Формат внешних обработок (ert) очень легко вычисляем, он
> никак не шифруется и не сжимается, т.е.
> фактически текстовый. Любой субъект [возможно и процесс],
> который имеет доступ к этому файлу на запись может его
> поправить как угодно, в частности внести туда строки с
> вирусом. Сам вирус написать очень легко свой, а не
> копировать существующий, поэтому по сигнатурам такие вирусы
> найти нельзя!
>
> С другой стороны ert активно используются бухгалтерами для
> отчетности, эти ert поставляются 1С-кой каждый квартал в
> виде поддержки (грубо говоря). И в частности эти самые ert
> пишут в файлы и запускают внешние приложения, поэтому по
> этим действиям отследить вирус нельзя.
ЗАЧЕМ и ЧТО они пишут в файлы? Зачем они запускают ВНЕШНИЕ приложения? Насколько я понимаю, документ 1С это что-то наподобие документа Excel, максимум из необходимых расширений которого - доступ к некоей внутренней (встроенной в 1С) базе данных. Я просто не вижу смысла разрешать макроязыку 1С запускать что-то стороннее, писать в файлы и тем более отсылать по сети. Если надо что-то кому-то отправить, пускай бухгалтера осваивают электронную почту. Если надо сохранить изменения в файле, пускай бухгалтер осваивает кнопку "сохранить", к которой макроязык не имеет доступа.

Насчёт поставляемых ert в качестве "поддержки". Как я понимаю, это что-то типа обычных апдейтов как самой 1С, так и базы, содержащихся в ней всяких там каталогов ОКОНХ (или как его) и прочее? Так если это обновление самой проги, пускай они это делают экзешником и реализуют это по аналогии с апдейтами от майкрософт. Всегда можно подсунуть пользователю гадость, но это уже проблемы пользователя. Нефиг запускать апдейты, скачанные с не официального сайта, или предоставленные не самой 1С. С тем же успехом пользователь может запустить любой левый exe'шник, не имеющий вообще никакого отношения к 1С, так что защищённость в этом случае не понижается.

Если же нужно просто обновить базу программы, то пускай они это делают по аналогии с reg-файлами в винде. ЗАЧЕМ разрешать им для этих целей писать что угодно куда угодно?


> --skiped--
> В 1С есть своя аутентификация и разрешения на пользование
> объектами (документами, справочниками), в частности можно,
> конечно, запретить пользоваться внешними обработками (ert),
> но, как я говорил - бухам они очень даже нужны.
Опять же, зачем они им нужны? Приведи пример.


> Пример: Пусть спарвочник "Контрагенты" - конфиденциален, я
> манагер - мне надо его использовать, программа, которую я
> использую должна уметь делать выборки по нему, т.е. уметь
> его читать. С другой стороны любая программа умеет
> записывать любую выбранную инфу во внешний файл и
> передавать его по инету... Вот ЧТО здесь искать? Прога
> может, конечно, слить конфиденциальную инфу, НО, мне, как
> манагеру, хотелось бы отправить контрагенту по почте
> прайс-лист (не конфиденциальный)... Действия м.б. в одном
> случае корректными, а вдругом нет, и нету НИКАКОЙ
> демаркации между ними. Все равно, что подобную проверку в
> perl или в компилятор С встраивать...
А управлять уровнем доступа до файла никак? Они могут держать какую-то внутреннюю базу с указанием уровня конфиденциальности конкретных файлов (можно хранить, например, подписи файлов) или использовать для этих целей систему прав доступа ОС и если файл конфеденциален, запрещать руками из самой 1С что-то с ними делать (изменять, копировать и пр.). Конечно, защита не ахти какая, но макровирус конфиденциальных данных уже не утянет.
<sysadmin> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach