AXForum  
Вернуться   AXForum > Прочие обсуждения > Курилка
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 09.11.2007, 17:12   #1  
trud is offline
trud
Участник
Лучший по профессии 2017
 
1,039 / 1630 (57) ++++++++
Регистрация: 07.06.2003
Записей в блоге: 1
Cool Обсуждение " Не пускайте программистов в рабочее приложение! Или почему еще надо переходить на DAX4"
Более правильный способ наверное не использовать аутентификацию SQL при работе с SQL сервером, а пользоваться Windows аутентификацией. В этом случае джоб просто не будет работать.

Кстати в Books online Microsoft пишет об этом чуть ли не на каждой странице. Пароль SQL можно перехватить с помощью кучи программ, различия в 3 и 4 тут не принципиальны

Последний раз редактировалось trud; 09.11.2007 в 17:21.
Старый 09.11.2007, 20:13   #2  
Vadik is offline
Vadik
Модератор
Аватар для Vadik
Лучший по профессии 2017
Лучший по профессии 2015
 
3,631 / 1849 (69) ++++++++
Регистрация: 18.11.2002
Адрес: гражданин Москвы
Известны ли кому-нибудь инсталляции аксапты, в которых разработчики не имеют доступа в рабочее приложение и не могут выполнять в рабочей БД или ее копии DDL/DML операции?
__________________
-ТСЯ или -ТЬСЯ ?
Старый 12.11.2007, 05:12   #3  
Lazy_Tiger is offline
Lazy_Tiger
NavAx
Axapta Retail User
1C
NavAx Club
 
610 / 31 (3) +++
Регистрация: 17.12.2001
Адрес: Красноярск
Цитата:
Сообщение от Vadik Посмотреть сообщение
Известны ли кому-нибудь инсталляции аксапты, в которых разработчики не имеют доступа в рабочее приложение и не могут выполнять в рабочей БД или ее копии DDL/DML операции?
Думается мне, что таких нет в природе
__________________
И все они создания природы...
Старый 12.11.2007, 08:55   #4  
Raven Melancholic is offline
Raven Melancholic
Участник
Аватар для Raven Melancholic
Самостоятельные клиенты AX
Лучший по профессии 2015
 
2,164 / 1293 (48) ++++++++
Регистрация: 21.03.2005
Адрес: Москва-Петушки
Цитата:
Сообщение от gl00mie Посмотреть сообщение
Единственным более-менее надежным способом сохранить в тайне логин/пароль, используемый AOS'м для подключения к базе Axapta 3.0, в этой связи видится следующий: четко разделить функции администратора системы Axapta и разработчика и оставить доступ к (рабочему) приложению только администратору.[/FONT]
А почему разработчику доверия нет, а администратору есть? Можно же дальше пойти - административный доступ только у службы безопасности, когда нужно что-то выполнить админу или разработчику - служба безопасности выдает временный логин, который после работ удаляет. Ещу лучше после выполнения работ админа пристрелить, но этого не позволяет ситуация на рынке труда.
Кстати, данная проблема не только у Аксы. В принципе, в любой системе, если пароль где-то хранится, то найдутся люди, которым смогут его получить (в той же 1С получить параметры соединения проблем нет - в V7.7 вообще элементарно, в V8 посложнее).
Старый 12.11.2007, 09:11   #5  
mazzy is offline
mazzy
Участник
Аватар для mazzy
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
29,472 / 4494 (208) ++++++++++
Регистрация: 29.11.2001
Адрес: Москва
Записей в блоге: 10
Цитата:
Сообщение от Raven Melancholic Посмотреть сообщение
В принципе, в любой системе, если пароль где-то хранится, то найдутся люди, которым смогут его получить (в той же 1С получить параметры соединения проблем нет - в V7.7 вообще элементарно, в V8 посложнее).
Нет, конечно. Не в любой. В последних виндах пароль не хранится, а хранится хэш пароля. Не стоит приводить 1С в качестве примера, по-моему. Может стоит почитать на эту тему?
__________________
полезное на axForum, github, vk, coub.
Старый 12.11.2007, 09:50   #6  
George Nordic is offline
George Nordic
Модератор
Аватар для George Nordic
Злыдни
 
4,479 / 1250 (50) ++++++++
Регистрация: 17.12.2003
Адрес: Moscow
Записей в блоге: 9
Цитата:
Сообщение от Lazy_Tiger Посмотреть сообщение
Думается мне, что таких нет в природе
Есть. в ЗАО ТПК "Феликс" у разработчиков есть доступ только на базу разработчиков и тестировочную. На рабочую поднимает только администратор.

С Уважением,
Георгий
Старый 12.11.2007, 10:29   #7  
MironovI is offline
MironovI
Участник
 
724 / 77 (4) ++++
Регистрация: 30.05.2005
Цитата:
Сообщение от Lazy_Tiger Посмотреть сообщение
Думается мне, что таких нет в природе
Был такой пример на внедрении, на рабочую поднимал только админ - все эти меры предшествовали плановуму добровольно-принудительному "сокращению" людей
Старый 12.11.2007, 10:51   #8  
belugin is offline
belugin
Участник
Аватар для belugin
Сотрудники Microsoft Dynamics
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
4,622 / 2925 (107) +++++++++
Регистрация: 16.01.2004
Записей в блоге: 5
у нас пускают только под присмотром

Если есть доступ к разработке, то с приложением и данными и так можно сделать все что угодно.
Старый 12.11.2007, 11:05   #9  
Dron AKA andy is offline
Dron AKA andy
Moderator
 
944 / 253 (10) ++++++
Регистрация: 27.03.2002
Адрес: Москва
Цитата:
Сообщение от George Nordic Посмотреть сообщение
Есть. в ЗАО ТПК "Феликс" у разработчиков есть доступ только на базу разработчиков и тестировочную. На рабочую поднимает только администратор.

С Уважением,
Георгий
Эх, Гоша, давненько ты с "Феликса" ушел...
__________________
Андрей.
Старый 12.11.2007, 11:07   #10  
Anders
Гость
 
n/a
>> Есть. в ЗАО ТПК "Феликс" у разработчиков есть доступ только на базу
>> разработчиков и тестировочную. На рабочую поднимает только администратор.

.... раздался смех из офиса....
Старый 12.11.2007, 11:33   #11  
Maximin is offline
Maximin
NavAx
NavAx Club
 
412 / 346 (12) ++++++
Регистрация: 09.10.2002
Адрес: Москва
>> Есть. в ЗАО ТПК "Феликс" у разработчиков есть доступ только на базу
>> разработчиков и тестировочную. На рабочую поднимает только администратор.

Смиялсо...

P.S. Флешмоб, флешмоб...
__________________
Жизнь прекрасна! Если, конечно, правильно подобрать антидепрессанты...
Старый 12.11.2007, 11:33   #12  
Lazy_Tiger is offline
Lazy_Tiger
NavAx
Axapta Retail User
1C
NavAx Club
 
610 / 31 (3) +++
Регистрация: 17.12.2001
Адрес: Красноярск
мне кажется что это как то не совсем верно. у администратора квалификации хватит? Я к тому что xpo иногда не достаточно импортировать. возможно потребуется написание и запуск джобиков, контроль результатов, допиливание по месту напильником и т.д...

Ну и по итогу смысл? От программеров и админов все равно не защититься.
__________________
И все они создания природы...
Старый 12.11.2007, 11:41   #13  
Dron AKA andy is offline
Dron AKA andy
Moderator
 
944 / 253 (10) ++++++
Регистрация: 27.03.2002
Адрес: Москва
Цитата:
Сообщение от Lazy_Tiger Посмотреть сообщение
мне кажется что это как то не совсем верно. у администратора квалификации хватит? Я к тому что xpo иногда не достаточно импортировать. возможно потребуется написание и запуск джобиков, контроль результатов, допиливание по месту напильником и т.д...
Согласен. Потому и отказались в свое время от подъема проектов админом.

Тему пора в Курилку, по-моему.
__________________
Андрей.
Старый 12.11.2007, 12:22   #14  
oip is offline
oip
Axapta
Лучший по профессии 2014
 
2,564 / 1416 (53) ++++++++
Регистрация: 28.11.2005
Записей в блоге: 1
Цитата:
Сообщение от mazzy Посмотреть сообщение
В последних виндах пароль не хранится, а хранится хэш пароля.
Но при этом обнулить его - дело одной минуты.
Старый 12.11.2007, 13:04   #15  
belugin is offline
belugin
Участник
Аватар для belugin
Сотрудники Microsoft Dynamics
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
4,622 / 2925 (107) +++++++++
Регистрация: 16.01.2004
Записей в блоге: 5
Цитата:
Сообщение от oip Посмотреть сообщение
Но при этом обнулить его - дело одной минуты.
Но при этом нельзя сказать что "так и было".
Старый 12.11.2007, 13:17   #16  
Aleksey_M is offline
Aleksey_M
Administrator
Аватар для Aleksey_M
 
520 / 355 (13) ++++++
Регистрация: 26.08.2005
Адрес: Москва
Цитата:
Сообщение от belugin Посмотреть сообщение
Но при этом нельзя сказать что "так и было".
Думаю, что можно, записав старый хеш назад. Хотя может не прокатить
__________________
Был грязный плащ на нем одет,
Цилиндр черный смят в гармошку...
Старый 12.11.2007, 17:20   #17  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5798 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Цитата:
Сообщение от Raven Melancholic Посмотреть сообщение
А почему разработчику доверия нет, а администратору есть?
У администратора системы Axapta, как правило, совершенно иная, нежели у разработчика, должностная инструкция, иные права и обязанности, иная степень ответственности. Что же касается ограничения прав доступа администраторов, то я свое мнение об этом уже высказывал.
Цитата:
Сообщение от Raven Melancholic Посмотреть сообщение
Можно же дальше пойти - административный доступ только у службы безопасности, когда нужно что-то выполнить админу или разработчику - служба безопасности выдает временный логин, который после работ удаляет.
"Дайте мне временный логин администратора, и я переверну Землю!"
Цитата:
Сообщение от Lazy_Tiger Посмотреть сообщение
мне кажется что это как то не совсем верно. у администратора квалификации хватит? Я к тому что xpo иногда не достаточно импортировать. возможно потребуется написание и запуск джобиков, контроль результатов, допиливание по месту напильником и т.д...
Я обычно job'ики, необходимые для накатывания модификации, пишу сам и включаю в проект (вместе с соотв. пунктами меню, запускающими job'ик на сервере), а также пишу, где, как и зачем их запускать.
Цитата:
Сообщение от Lazy_Tiger Посмотреть сообщение
Ну и по итогу смысл? От программеров и админов все равно не защититься.
Подумайте вот о чем: в настройке прав доступа есть отдельная самостоятельная ветка "Разработка" с разграничением доступа разработчиков на уровне отдельных таблиц, слоев, элементов MorphX... Не уверен, что кто-то из посетителей форума пользуется этой возможностью разграничения доступа, но она есть, "значит, это кому-нибудь нужно". А описанная "возможность" сводит эффект подобных настроек на нет.
Цитата:
Сообщение от mazzy Посмотреть сообщение
Цитата:
Сообщение от Raven Melancholic Посмотреть сообщение
Кстати, данная проблема не только у Аксы. В принципе, в любой системе, если пароль где-то хранится, то найдутся люди, которым смогут его получить.
Нет, конечно. Не в любой. В последних виндах пароль не хранится, а хранится хэш пароля.
Собственно, давайте разделять пароли для логина и всякие другие пароли (для доступа к сайтам в инете, для подключения по VPN и проч.). Хэш вместо самого пароля для логина в виндах хранится уже очень давно, во всяком случае l0phtcrack еще во времена NT4 по файлу SAM (%SystemRoot%\system32\config\sam, он же hklm\sam\sam) пароли именно подбирала. Пароли же, сохраняемые в hklm\security для прочих нужд (подключения по VPN, вход на всякие сайты через MSIE, etc), очевидно, хранятся в форме, предполагающей возможность получения их в открытом виде. К слову, Axapta Object Server Manager из 3-ки (ax32mgr), тоже использует этот механизм: с его помощью он хранит пароли пользователей, под которыми запускаются AOS'ы, если явно задать, под кем их запускать.
С другой стороны, что касается паролей для логинов - в Active Directory в свойствах пользователей есть интересная настройка "Store password using reversible encryption"...
Цитата:
Сообщение от oip Посмотреть сообщение
Но при этом обнулить его - дело одной минуты.
О каком пароле речь? Если о виндовом - расскажите, как (особенно в рамках домена)
За это сообщение автора поблагодарили: MikeR (7).
Старый 12.11.2007, 17:59   #18  
Aleksey_M is offline
Aleksey_M
Administrator
Аватар для Aleksey_M
 
520 / 355 (13) ++++++
Регистрация: 26.08.2005
Адрес: Москва
gl00mie
>Если о виндовом - расскажите, как (особенно в рамках домена)
На локальной машине - Wininternals ERD Commander (программа locksmith). Насчет домена(без физического доступа до сервера), где-то тут был топик про терморектальный криптоанализ...
__________________
Был грязный плащ на нем одет,
Цилиндр черный смят в гармошку...
За это сообщение автора поблагодарили: gl00mie (3).
Старый 12.11.2007, 18:23   #19  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5798 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Цитата:
Сообщение от Aleksey_M Посмотреть сообщение
На локальной машине - Wininternals ERD Commander (программа locksmith).
Интересно, кроме варезников оно сейчас где-то доступно? А то по ходу Microsoft после приобретения WinInternals прикрыла этот ERD Commander...
Старый 12.11.2007, 18:28   #20  
Aleksey_M is offline
Aleksey_M
Administrator
Аватар для Aleksey_M
 
520 / 355 (13) ++++++
Регистрация: 26.08.2005
Адрес: Москва
gl00mie
http://www.microsoft.com/technet/tec...t.aspx?loc=ru/
Во, вот здесь оно упоминается:
Цитата:
Locksmith был одним из самых популярных средств, включенных в набор ERD Commander во времена Winternals. Он позволяет сбросить любой пароль локального пользователя. Он не работает с доменными контроллерами и не может сбросить пароль доменного пользователя; обычно он используется для сброса пароля локального администратора, если тот забыл его, или если пользователь больше не работает в организации.
__________________
Был грязный плащ на нем одет,
Цилиндр черный смят в гармошку...
Теги
active directory, sql server, как правильно, пароль, права доступа, ax3.0, ax4.0

 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
Надо ли включать функциональность "Друзья"? Gustav Обсуждение форума 12 05.05.2009 10:30
Обсуждение устава и целей Клуба "NavAx Club" BVN Курилка 53 05.09.2005 00:15

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 12:38.