Bankir.Ru
10 декабря, суббота 09:55

Объявление

Свернуть
Пока нет объявлений.

Кто-нибудь использует шифрацию пароля в 5НТ ?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Кто-нибудь использует шифрацию пароля в 5НТ ?

    SQL monitor показывает этот пароль. Диасофт обещал что-то сделать и молчит уже 2 месяца.

  • #2
    А что можно сделать? если диа это не делает?

    А с другой стороны - что вам это даст? все равно особой секретности он не создает, так для аудита хранит кто и что - не более.

    Если есть свой пароль, но нет скажем прав на свифты в интерфейсе, все равно можно запустить процедуру генерации свифтового сообщения или генерации проводки на мой р/с, и создать проводку или сообщение и отправятся денежки на мой л/счет на канарах. Кстати сие можно и из отчета прямо сделать, т.е. не требует на клиентском месте никакого супер-пупер хакерского оборудования, все под рукой...

    Могу рассказать о своей беде на которую когда-то обращал внимание Диасов, так кстати и не закрытая до сих пор.
    Имеется например третье лицо, тоесть некая софтина третьих лиц, ей надо например остатки получить (запуск хранимой процедуры и чтение pResList), если я сделаю логин для них - то он по умолчанию на SQL войдет в группу PUBLIC. диа все права раздает этой группе, тоесть теперь что-бы закрыть этому логину всю остальную базу (тот же вызов Operation_Insert) - я должен индивидуально логину, все-все-все- запретить (grant deny ...) А если я славно пролью скрипты - то все доп. гранты отвалятся...
    Было предложено создать спец группу (роль - dia_public) для логинов диа (что собственно и сделано у нас), Пока самому приходится все процедурины, все скрипты перед заливкой корректировать для раздачи прав не grant all on ... to public, а grant ... to dia_public. И таким образом отдельные товарисчи, третьи лица не имеют возможности запустить Operation_Insert, т.к. они не входят в dia_public.

    А по хорошему надо конечно добиваться чтобы и раздача прав на ХП происходила на основе прав доступа к модулям, что в общем-то тоже не очень сложно реализуется, скорректировать раздачу прав для ХП на разные группы и контролируя вхождение логина в группу dia_swift - разрешаю запуск GenSwift537 для этого пользователя (у GenSwift537 при заливке используется grant exec on GenSwift537 to dia_swift).

    В общем прозрачность SQL - в данном случае приходтся с этим бороться...
    С уважением, Максаев Андрей.

    Комментарий


    • #3
      Я как раз и имею ввиду возможность сделать недоступным логин на SQL сервер из любых других программ, кроме 5НТ. Если пользователь не знает свой пароль, то и не сможет войти ...

      Комментарий


      • #4
        Так есть шифрация. Включается каким-то образом в ini-файле. Лучше всего обратиться на горячую линию. К Елене Комарной.
        Правда для проливки скриптов шифрация пароля у пользоватя должна быть отключена. i-sql не работает с шифрацией пароля.
        :up:
        Володя.

        Комментарий


        • #5
          to andrey_seek:

          мне кажется ты сильно перестраховываешься. Если у пользователя есть права на Opertion_Insert, но нет прав на пачки, то ничего он не сделает. Заведи отдельную группу SELECT_ONLY и отбери права на все объекты учета. Или вообще сделай логин только на уровне сервера, без записи в tUser ничего в системе сделать нельзя. А если бы было так, как ты говоришь, то любой операционист, запустив isql (идущую кстати в стандартной поставке клиентской части MS/Sybase) таких делов бы наделал, что мало бы не показалось. Все решает только dsa кому что делать, а если где не так, то с этим надо бороться

          Если же тебя сильно беспокоят сторонние дядьки, то лучше удали текст процедур, оставь только компилированный тескт, это что-то типа удаления из syscomments. Без знания названий и текста процедур ничего не сделаешь - это как хакеру работать без имен файлов, скопировать даже ничего нельзя

          Что касаетя "А если я славно пролью скрипты - то все доп. гранты отвалятся..." - проще всего зашедулить этот доп скрипт на ночь каждый день, это тебе 100% гарантирует, что ты не забудешь что-то сделать. У нас такой целый батч крутится всех наших доп скриптов, там же снятие бэкапа, пролитие наших тригеров (ком диасофт так любит сносить при каждой переливке), то-се, пятое десятое

          Комментарий


          • #6
            Для amhammer

            Ну что значит перестраховываюсь...

            Смотрим Db_5nt.sql в районе 3035 строки
            grant select on tOperPart to public

            Смотрим Db_5nt.sql в районе 2055 строки
            grant select on tInstitution to public

            Вот как-бы и все, какая-либо организация защиты в системе пока в "нуле".

            У меня как раз проблема, что при использовании подобной раздачи прав, любой логин на сервере имеющий доступ к базе (без каких-либо записей в tUser-e и где либо еще), становится 100% читателем весьма конфиденциальной информации.

            Снова повторю задачу, какими средствами Вы сможете обеспечить доступ пользователю SQL (нет его в tUser) к запуску только одной-единственной процедуры и чтение только одной единственной таблицки?

            А тексты пусть сам Диа хранит, мне они не нужны...
            С уважением, Максаев Андрей.

            Комментарий

            Пользователи, просматривающие эту тему

            Свернуть

            Присутствует 1. Участников: 0, гостей: 1.

            Обработка...
            X