> Формат внешних обработок (ert) очень легко вычисляем, он
> никак не шифруется и не сжимается, т.е.
> фактически текстовый. Любой субъект [возможно и процесс],
> который имеет доступ к этому файлу на запись может его
> поправить как угодно, в частности внести туда строки с
> вирусом. Сам вирус написать очень легко свой, а не
> копировать существующий, поэтому по сигнатурам такие вирусы
> найти нельзя!
>
> С другой стороны ert активно используются бухгалтерами для
> отчетности, эти ert поставляются 1С-кой каждый квартал в
> виде поддержки (грубо говоря). И в частности эти самые ert
> пишут в файлы и запускают внешние приложения, поэтому по
> этим действиям отследить вирус нельзя.
ЗАЧЕМ и ЧТО они пишут в файлы? Зачем они запускают ВНЕШНИЕ приложения? Насколько я понимаю, документ 1С это что-то наподобие документа Excel, максимум из необходимых расширений которого - доступ к некоей внутренней (встроенной в 1С) базе данных. Я просто не вижу смысла разрешать макроязыку 1С запускать что-то стороннее, писать в файлы и тем более отсылать по сети. Если надо что-то кому-то отправить, пускай бухгалтера осваивают электронную почту. Если надо сохранить изменения в файле, пускай бухгалтер осваивает кнопку "сохранить", к которой макроязык не имеет доступа.
Насчёт поставляемых ert в качестве "поддержки". Как я понимаю, это что-то типа обычных апдейтов как самой 1С, так и базы, содержащихся в ней всяких там каталогов ОКОНХ (или как его) и прочее? Так если это обновление самой проги, пускай они это делают экзешником и реализуют это по аналогии с апдейтами от майкрософт. Всегда можно подсунуть пользователю гадость, но это уже проблемы пользователя. Нефиг запускать апдейты, скачанные с не официального сайта, или предоставленные не самой 1С. С тем же успехом пользователь может запустить любой левый exe'шник, не имеющий вообще никакого отношения к 1С, так что защищённость в этом случае не понижается.
Если же нужно просто обновить базу программы, то пускай они это делают по аналогии с reg-файлами в винде. ЗАЧЕМ разрешать им для этих целей писать что угодно куда угодно?
> --skiped--
> В 1С есть своя аутентификация и разрешения на пользование
> объектами (документами, справочниками), в частности можно,
> конечно, запретить пользоваться внешними обработками (ert),
> но, как я говорил - бухам они очень даже нужны.
Опять же, зачем они им нужны? Приведи пример.
> Пример: Пусть спарвочник "Контрагенты" - конфиденциален, я
> манагер - мне надо его использовать, программа, которую я
> использую должна уметь делать выборки по нему, т.е. уметь
> его читать. С другой стороны любая программа умеет
> записывать любую выбранную инфу во внешний файл и
> передавать его по инету... Вот ЧТО здесь искать? Прога
> может, конечно, слить конфиденциальную инфу, НО, мне, как
> манагеру, хотелось бы отправить контрагенту по почте
> прайс-лист (не конфиденциальный)... Действия м.б. в одном
> случае корректными, а вдругом нет, и нету НИКАКОЙ
> демаркации между ними. Все равно, что подобную проверку в
> perl или в компилятор С встраивать...
А управлять уровнем доступа до файла никак? Они могут держать какую-то внутреннюю базу с указанием уровня конфиденциальности конкретных файлов (можно хранить, например, подписи файлов) или использовать для этих целей систему прав доступа ОС и если файл конфеденциален, запрещать руками из самой 1С что-то с ними делать (изменять, копировать и пр.). Конечно, защита не ахти какая, но макровирус конфиденциальных данных уже не утянет.
|
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
