23.05.2005, 15:56 | #1 |
NavAx
|
Enterprise Portal. Кто что знает.
Интересует мнение специалистов реально с ним работавших. Какие подводные камни и проблемы обнаружены и как решены.
Сейчас изучаю его внутренности. Мое ИМХО: 1. Возникло подозрение, что в портале есть проблемы с безопасностью. Например, даем доступ к нашей базе клиенту, при определенных уловках, клиент может увидеть чужие данные (попробуйте поигрться с RECID в урлах на заказы клиента). Чтобы этого не произошло надо добавлять фильтр по клиентам в его запросы веб форм или контрольную сумму в URL. Соответственно я начинаю сомневаться, что злонамеренный пользователь может через портал натворить делов. Я для решения проблемы попытался добавить контрольную сумму, но это работает для метода GET, для POST сделать сложнее, т.к. он построен на редактируемых полях. 2. Возникло ощущуение, что медленно работает. Тестирую конечно на обычной машине, но значительно отличается по скорости от различных интернет магазинов. Надеюсь найдутся желающие подискутировать. |
|
24.05.2005, 08:43 | #2 |
Участник
|
Подводный камень был один (CSS для версии 2.5) - если таймаут между IIS и AOS более 30 мс, пятеро активных пользователей способны повесить портал за пол-часа. Поэтому этот параметр нужно более чем отслеживать.
|
|
24.05.2005, 17:25 | #3 |
Участник
|
А вот у меня возникло впечатление что EPortal сыроват. И работает действительно медленно. Код большинства магазинов работает с базой напрямую, а вот епортал нет. Мое мнение - если надо что-то писать с аксаптой под интернет, надо юзать сом конектор и писать все руками на ASP или PHP. Будет и быстрее и надежней и безопасней.
|
|
25.05.2005, 11:40 | #4 |
NavAx
|
Видимо спецы не желают делиться сокровенным знанием
Сегодня, занимаясь изучением портала на примере иностранных сайтов, удалось с помощью нехитрых манипуляций получить доступ к данным одной финской фирмы, к которым доступ должен отсутсвовать. На том портале видимо проблема с настройкой безопасности - пользователь COM коннекотра имеет слишком много прав. Данный случай внушает опасения. 2 Dimonishe Цитата:
Мое мнение - если надо что-то писать с аксаптой под интернет, надо юзать сом конектор и писать все руками на ASP или PHP.
|
|
26.05.2005, 15:40 | #5 |
Участник
|
А зачем реализовывать бизнес логику?? Можно ведь пользовать уже реализованную стандартную в аксапте. Ведь через com можно из ASP вызывать любые аксаптовские методы, обращаться к любым классам или таблицам (Что в общем то и делает логика портала). Конечно же, такой масштабной функциональности как в портале добиться будет довольно сложно (т.е. долго), но вот для конкретного бизнес-процесса это вполне реально. И боков с безопасностью будет меньше.
|
|
26.05.2005, 16:09 | #6 |
NavAx
|
Цитата:
Можно ведь пользовать уже реализованную стандартную в аксапте. Ведь через com можно из ASP вызывать любые аксаптовские методы, обращаться к любым классам или таблицам
PS. Хочу исправиться насчет медленности портала, теперь портал работает более мнее шустро на тестовом железе. Проблема как оказалось в моем алгоритме защиты URL от подмены, в котором как часть алгоритма использовался Dictionary.buildPassword(), который и тормозил весь процесс. После упрощения алгоритма все пришло в норму. |
|
06.06.2005, 10:42 | #7 |
NavAx
|
Никто не спешит обсуждать
Вчера обнаружил еще одну проблему с безопасностью в портале: Если используется функциональность документооборота и документы хранятся в базе данных, то любой посетитель портала без логина может все их выкачать, также можно выкачать все изображения, которые хранятся в CompanyImages, это и фотографии сотрудников и фото номенклатур. Конечно для этого надо приложить усилия, написать скрипт использующий перебор, но в течении некоторого времени все можно выкачать. Дырку заткнул при помощи опять же проверки конрольной суммы URL. |
|
06.06.2005, 11:23 | #8 |
Гость
|
ты найденные дыры в безопасности в Майкрософт отсылай, пускай исправляют =)
|
|
06.06.2005, 11:37 | #9 |
Модератор
|
Ага. Разбежались!
http://www.axforum.info/forums/showt...0&pagenumber=1 В какой версии? в пятой? С Уважением, Георгий. |
|
06.06.2005, 11:43 | #10 |
NavAx
|
Цитата:
Изначально опубликовано ahtoh
ты найденные дыры в безопасности в Майкрософт отсылай, пускай исправляют =) |
|
06.06.2005, 12:11 | #11 |
Moderator
|
Цитата:
ИМХО, пока не написать скрипт и не выложить его в общий доступ, M$ не пошевелиться.
|
|
Теги |
ax3.0, enterprise portal, безопасность, корпоративный портал |
|
Опции темы | Поиск в этой теме |
Опции просмотра | |
|