БИЗНЕС-СЕТЬ KINETICS CRM CALL-ЦЕНТРЫ ERP ITSM PM АБС АБН SEC SAAS
 ПоискПоиск   ПользователиПользователи   РегистрацияРегистрация   ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Проблемы в безопасности данных в Терре 3
На страницу 1, 2  След.
 
CRM Форум -> CRM системы и поставщики
Автор Сообщение
Berdichevskaja



Зарегистрирован: 17.08.2006
Сообщения: 28


СообщениеДобавлено: Чт Авг 17, 2006 1:55 pm     Посмотреть профиль Отправить личное сообщение

Скажите, люди добрые, такую вещь. Может кто и пользовался, знает.
В Терре 3, согласно их официальному сайту, безопасность вынесена с сервера на уровень отдельного слоя в клиентском приложении.
1 вопрос. Получается, что я могу подключиться Excel'ем или Access'ом в нашем случае к MS SQL и, имея логин пользователя, выданный мне, как пользователю Терры, получить все данные в обход слоя безопасности этой чудной разноцветной системы? Компания Лабитек в Питере подтвердила эту дыру.
2 вопрос. Я так и не получила ответ от компании Лабитек в Питере на тему о том, что если у меня этот слой безопасности находится не на сервере баз данных, то на него тянутся все таблицы с сервера и только потом разбираются в этом слое? Как же она тормозит-то?
Oleksiy



Зарегистрирован: 17.08.2006
Сообщения: 24


СообщениеДобавлено: Чт Авг 17, 2006 4:23 pm     Посмотреть профиль Отправить личное сообщение

Ответ 1: Имея логин и пароль для подключения к базе данных, к ней можно подключится не только из вышеуказанных приложений. Так что настраивая строку соединения для пользователя Terrasoft CRM 3.0 нужно задуматься, указывать ли логин и пароль sa или использовать созданный Вами для таких вот резвых пользователей. Так что никаких дыр с правами нет
Ответ 2: Какие "все" таблицы Вы имеете ввиду? С сервера базы данных запрашивается только информация о правах текущего пользователя, а для того чтобы ограничить запрос на выборку данных условием по правам, как известно, ничего на клиента тянуть не нужно. Так что и тормозить нечему
----------------
С уважением
----------------
Berdichevskaja



Зарегистрирован: 17.08.2006
Сообщения: 28


СообщениеДобавлено: Чт Авг 17, 2006 4:54 pm     Посмотреть профиль Отправить личное сообщение

По ответу 1. Резвые пользователи без проблем могут создать приложение, которое будет называться Террой 3 и слать запросы от его имени. И дыра там получится очень больших размеров, так как в нашей корпорации полно людей способных это сделать ни у кого не спрашивая советов.
Oleksiy



Зарегистрирован: 17.08.2006
Сообщения: 24


СообщениеДобавлено: Чт Авг 17, 2006 5:08 pm     Посмотреть профиль Отправить личное сообщение

Так что же Вам мешает ограничивать права доступа к данным, используя механизмы сервера базы данных? Создайте на сервере пользователя с ограниченными правами, настройте строку соединения к Terrasoft CRM с параметрами данного пользователя. Этого будет вполне достаточно
----------------
С уважением
----------------
Berdichevskaja



Зарегистрирован: 17.08.2006
Сообщения: 28


СообщениеДобавлено: Чт Авг 17, 2006 5:14 pm     Посмотреть профиль Отправить личное сообщение

Бред! 200 пользователей мне мешают! Причем они постоянно мигрируют из группы в группу в зависимости от проектов, коих в году около 30. И количество проектов растет. У каждой группы свои права доступа. Все очень гибко, а главное, часто надо все за 5 минут. Если вы пробовали настроить права доступа на MSSQL, то понимаете, что не все там быстро, а главное, удобно.

Да и к тому же. Либо мы все считаем в программе, либо все на калькуляторе. А часть там, часть там - это бред.
Oleksiy



Зарегистрирован: 17.08.2006
Сообщения: 24


СообщениеДобавлено: Чт Авг 17, 2006 5:59 pm     Посмотреть профиль Отправить личное сообщение

Давайте вернемся немного назад, к доступу к базе данных из Excel или Access. Для получения доступа к базе данных через объект ADO нужно указать строку соединения к базе данных, которую, естественно нужно знать (с логином и паролем соответственно). Получить эту строку соединения из Terrasoft CRM в явном виде не получится, хранится она в зашифрованном виде. Второй вариант доступа к базе данных - использование объектов Terrasoft CRM. В этом случае при создании запросов или наборов данных (другим способом получить данные не получится) в любом случае будут наложены права, соответствующие текущему пользователю Terrasoft CRM. Других вариантов я пока не вижу. Если у Вы их знаете, давайте обсудим. Но пока дыры все таки нет.
Горелов Виталий



Зарегистрирован: 27.07.2006
Сообщения: 18


СообщениеДобавлено: Ср Авг 23, 2006 10:54 am     Посмотреть профиль Отправить личное сообщение

Добрый день,

Хочется сказать, что компания Лабитек не подстверждала данной дыры. Более того в любом решении где есть прямой доступ к SQL Server возможны описываемые проблемы (1C, Sales Expert, Клиент-коммуникатор, т.д.). Далее все зависит от четкости постановки задачи по защите прав доступа и квалификации администратора.
_________________
С уважением,
Виталий Горелов
Компания Лабитек
Игорь А. Рыков



Зарегистрирован: 14.06.2006
Сообщения: 550


СообщениеДобавлено: Пн Авг 28, 2006 10:43 am     Посмотреть профиль Отправить личное сообщение

По поводу Клиент-Коммуникатора - не верное предположение (камень в наш огород). У нас пользователь впринципе не имеет доступа к таблицам на сервере. Потому чем бы он ни коннектился, он получит только то, что определено ему в блоке Администратор CRM-конструктора Клиент-Коммуникатор.

Мало того, особо подчеркну, что в Клиент-Коммуникаторе права доступа настраиваются в самой системе - на сервер лезть не надо, а тем более обладать знаниями его администрирования.
Гость






СообщениеДобавлено: Пн Авг 28, 2006 1:18 pm    

Игорь А. Рыков писал(а):
Мало того, особо подчеркну, что в Клиент-Коммуникаторе права доступа настраиваются в самой системе - на сервер лезть не надо, а тем более обладать знаниями его администрирования.


Да ну расскажите... А в БД вы как доступаетесь? По воздуху? В любой системе где-то настраивается пользователь и пароль этого пользователя в БД.
[/quote]
Гость






СообщениеДобавлено: Пн Авг 28, 2006 4:14 pm    

Гость писал(а):
Да ну расскажите...

И прада насмешили :)
Кадыков Михаил



Зарегистрирован: 19.09.2005
Сообщения: 1058


СообщениеДобавлено: Пн Авг 28, 2006 9:12 pm     Посмотреть профиль Отправить личное сообщение

Гость писал(а):
Да ну расскажите... А в БД вы как доступаетесь? По воздуху? В любой системе где-то настраивается пользователь и пароль этого пользователя в БД.


Пожоже, вы не поняли, о чем идет речь... Не надо путать "пользователя" на доступ к БД, и "пользователя" к интерфейсу программы!
Система может иметь один логин к БД, который задается администратором, и кучу логинов пользователей, которые дают доступ только к функциям программы! Пользователь, который работает с системой, понятия не имеет, с каким логином и паролем программа коннектится к БД!
Врать не буду, я не знаю, как это все устроено в TS, но если логины пользователей для входа в программу дают возможность доступа к SQL-базе, то это действительно ОГРОМНАЯ дыра в защите!
Oleksiy



Зарегистрирован: 17.08.2006
Сообщения: 24


СообщениеДобавлено: Вт Авг 29, 2006 8:49 am     Посмотреть профиль Отправить личное сообщение

Михаил, как ЭТО ВСЕ устроено в Terrasoft CRM, я доступным языком написал в моем 3-м посте. Не засоряйте эфир своими догадками, когда Вам факты предоставляют
Кадыков Михаил



Зарегистрирован: 19.09.2005
Сообщения: 1058


СообщениеДобавлено: Вт Авг 29, 2006 11:28 am     Посмотреть профиль Отправить личное сообщение

Oleksiy писал(а):
Не засоряйте эфир своими догадками, когда Вам факты предоставляют

Если честно, не понял наезда... :(
Я, вроде написал, что не знаю про технологию TS... И никаких догадок не строю...
Фраза:
Кадыков Михаил писал(а):
но если логины пользователей для входа в программу дают возможность доступа к SQL-базе, то это действительно ОГРОМНАЯ дыра в защите!

Относилась не к TS, а к посту Гостя...
Berdichevskaja



Зарегистрирован: 17.08.2006
Сообщения: 28


СообщениеДобавлено: Ср Авг 30, 2006 1:39 pm     Посмотреть профиль Отправить личное сообщение

Oleksiy писал(а):
Давайте вернемся немного назад, к доступу к базе данных из Excel или Access. Для получения доступа к базе данных через объект ADO нужно указать строку соединения к базе данных, которую, естественно нужно знать (с логином и паролем соответственно).

Вопрос. Зачем мне объект ADO?
Вопрос 2. Мне сказали, что пользователи имеют доступ к БД.
Вопрос 3. Что мешает моим продвинутым пользователям, уже работавшим даже с Oracle написать программулину, которая при обращении к БД с их логинами, полученными в Терре, будет представляться, как Терра и качать им все данные.

ПОВЕРЬТЕ! У нас в корпорации потребителей информации, которые хотят знать все про всех (иногда и со злым умыслом) МНОГО!
Oleksiy



Зарегистрирован: 17.08.2006
Сообщения: 24


СообщениеДобавлено: Ср Авг 30, 2006 2:55 pm     Посмотреть профиль Отправить личное сообщение

Охотно Вам верю. Такие люди есть везде.
Ответ: для того чтобы подключаться к базе данных, самый распостраненный провайдер
Ответ 2: это факт, иначе как Вы себе представляете работу с данными?
Ответ 3: В Terrasoft CRM для подключения к базе данных используется объект Connector. данный объект при подключении к базе данных считывает из файла настроек информацию о соединении, которая хранится в зашифрованном виде. После того как Вы осуществили соединение, используя объект Connector, вы можете работать с базой данных Terrasoft CRM, но только используя те объекты, которые предоставляет система. Существует 5 объектов, которые позволяют работать с данными: SelectQuery, InsertQuery, UpdateQuery, DeleteQuery, Dataset. НИ В ОДИН из этих объектов Вы НЕ МОЖЕТЕ записать произвольный SQL текст, поскольку для того, чтобы собрать запрос, нужно использовать другие объекты системы (не буду сейчас вдаваться в подробности какие конкретно). Перед выполнением каждого запроса к нему добавляются административные фильтры (иначе дополнительные условия в разделе WHERE SQL-запроса), которые накладываются в соответствии с правами текущего пользователя Terrasoft CRM (не СУБД !!!), информацию о котором (о пользователе) хранит у себя Connector. Так что как бы Вы ни пытались выбрать запросами информацию из базы данных, все равно выберется только та, права на которую Вам раздал администратор Terrasoft CRM
CRM Форум -> CRM системы и поставщики Часовой пояс: GMT + 3
На страницу 1, 2  След.
Страница 1 из 2

 


Powered by LP © 2001, 2005 phpBB Group