Обсуждение " Не пускайте программистов в рабочее приложение! Или почему еще надо переходить на DAX4"

[trud]

Более правильный способ наверное не использовать аутентификацию SQL при работе с SQL сервером, а пользоваться Windows аутентификацией. В этом случае джоб просто не будет работать.

Кстати в Books online Microsoft пишет об этом чуть ли не на каждой странице. Пароль SQL можно перехватить с помощью кучи программ, различия в 3 и 4 тут не принципиальны

[Vadik]

Известны ли кому-нибудь инсталляции аксапты, в которых разработчики не имеют доступа в рабочее приложение и не могут выполнять в рабочей БД или ее копии DDL/DML операции?

[Lazy_Tiger]

Цитата:

Сообщение от Vadik

Известны ли кому-нибудь инсталляции аксапты, в которых разработчики не имеют доступа в рабочее приложение и не могут выполнять в рабочей БД или ее копии DDL/DML операции?

Думается мне, что таких нет в природе

[Raven Melancholic]

Цитата:

Сообщение от gl00mie

Единственным более-менее надежным способом сохранить в тайне логин/пароль, используемый AOS'м для подключения к базе Axapta 3.0, в этой связи видится следующий: четко разделить функции администратора системы Axapta и разработчика и оставить доступ к (рабочему) приложению только администратору.[/FONT]

А почему разработчику доверия нет, а администратору есть? Можно же дальше пойти - административный доступ только у службы безопасности, когда нужно что-то выполнить админу или разработчику - служба безопасности выдает временный логин, который после работ удаляет. Ещу лучше после выполнения работ админа пристрелить, но этого не позволяет ситуация на рынке труда.
Кстати, данная проблема не только у Аксы. В принципе, в любой системе, если пароль где-то хранится, то найдутся люди, которым смогут его получить (в той же 1С получить параметры соединения проблем нет - в V7.7 вообще элементарно, в V8 посложнее).

[mazzy]

Цитата:

Сообщение от Raven Melancholic

В принципе, в любой системе, если пароль где-то хранится, то найдутся люди, которым смогут его получить (в той же 1С получить параметры соединения проблем нет - в V7.7 вообще элементарно, в V8 посложнее).

Нет, конечно. Не в любой. В последних виндах пароль не хранится, а хранится хэш пароля. Не стоит приводить 1С в качестве примера, по-моему. Может стоит почитать на эту тему?

[George Nordic]

Цитата:

Сообщение от Lazy_Tiger

Думается мне, что таких нет в природе

Есть. в ЗАО ТПК "Феликс" у разработчиков есть доступ только на базу разработчиков и тестировочную. На рабочую поднимает только администратор.

С Уважением,
Георгий

[MironovI]

Цитата:

Сообщение от Lazy_Tiger

Думается мне, что таких нет в природе

Был такой пример на внедрении, на рабочую поднимал только админ - все эти меры предшествовали плановуму добровольно-принудительному "сокращению" людей

[belugin]

у нас пускают только под присмотром

Если есть доступ к разработке, то с приложением и данными и так можно сделать все что угодно.

[Dron AKA andy]

Цитата:

Сообщение от George Nordic

Есть. в ЗАО ТПК "Феликс" у разработчиков есть доступ только на базу разработчиков и тестировочную. На рабочую поднимает только администратор.

С Уважением,
Георгий

Эх, Гоша, давненько ты с "Феликса" ушел...

>> Есть. в ЗАО ТПК "Феликс" у разработчиков есть доступ только на базу
>> разработчиков и тестировочную. На рабочую поднимает только администратор.

.... раздался смех из офиса....

[Maximin]

>> Есть. в ЗАО ТПК "Феликс" у разработчиков есть доступ только на базу
>> разработчиков и тестировочную. На рабочую поднимает только администратор.

Смиялсо...

P.S. Флешмоб, флешмоб...

[Lazy_Tiger]

мне кажется что это как то не совсем верно. у администратора квалификации хватит? Я к тому что xpo иногда не достаточно импортировать. возможно потребуется написание и запуск джобиков, контроль результатов, допиливание по месту напильником и т.д...

Ну и по итогу смысл? От программеров и админов все равно не защититься.

[Dron AKA andy]

Цитата:

Сообщение от Lazy_Tiger

мне кажется что это как то не совсем верно. у администратора квалификации хватит? Я к тому что xpo иногда не достаточно импортировать. возможно потребуется написание и запуск джобиков, контроль результатов, допиливание по месту напильником и т.д...

Согласен. Потому и отказались в свое время от подъема проектов админом.

Тему пора в Курилку, по-моему.

[oip]

Цитата:

Сообщение от mazzy

В последних виндах пароль не хранится, а хранится хэш пароля.

Но при этом обнулить его - дело одной минуты.

[belugin]

Цитата:

Сообщение от oip

Но при этом обнулить его - дело одной минуты.

Но при этом нельзя сказать что "так и было".

[Aleksey_M]

Цитата:

Сообщение от belugin

Но при этом нельзя сказать что "так и было".

Думаю, что можно, записав старый хеш назад. Хотя может не прокатить

[gl00mie]

Цитата:

Сообщение от Raven Melancholic

А почему разработчику доверия нет, а администратору есть?

У администратора системы Axapta, как правило, совершенно иная, нежели у разработчика, должностная инструкция, иные права и обязанности, иная степень ответственности. Что же касается ограничения прав доступа администраторов, то я свое мнение об этом уже высказывал.

Цитата:

Сообщение от Raven Melancholic

Можно же дальше пойти - административный доступ только у службы безопасности, когда нужно что-то выполнить админу или разработчику - служба безопасности выдает временный логин, который после работ удаляет.

"Дайте мне временный логин администратора, и я переверну Землю!"

Цитата:

Сообщение от Lazy_Tiger

мне кажется что это как то не совсем верно. у администратора квалификации хватит? Я к тому что xpo иногда не достаточно импортировать. возможно потребуется написание и запуск джобиков, контроль результатов, допиливание по месту напильником и т.д...

Я обычно job'ики, необходимые для накатывания модификации, пишу сам и включаю в проект (вместе с соотв. пунктами меню, запускающими job'ик на сервере), а также пишу, где, как и зачем их запускать.

Цитата:

Сообщение от Lazy_Tiger

Ну и по итогу смысл? От программеров и админов все равно не защититься.

Подумайте вот о чем: в настройке прав доступа есть отдельная самостоятельная ветка "Разработка" с разграничением доступа разработчиков на уровне отдельных таблиц, слоев, элементов MorphX... Не уверен, что кто-то из посетителей форума пользуется этой возможностью разграничения доступа, но она есть, "значит, это кому-нибудь нужно". А описанная "возможность" сводит эффект подобных настроек на нет.

Цитата:

Сообщение от mazzy

Цитата:

Сообщение от Raven Melancholic

Кстати, данная проблема не только у Аксы. В принципе, в любой системе, если пароль где-то хранится, то найдутся люди, которым смогут его получить.

Нет, конечно. Не в любой. В последних виндах пароль не хранится, а хранится хэш пароля.

Собственно, давайте разделять пароли для логина и всякие другие пароли (для доступа к сайтам в инете, для подключения по VPN и проч.). Хэш вместо самого пароля для логина в виндах хранится уже очень давно, во всяком случае l0phtcrack еще во времена NT4 по файлу SAM (%SystemRoot%\system32\config\sam, он же hklm\sam\sam) пароли именно подбирала. Пароли же, сохраняемые в hklm\security для прочих нужд (подключения по VPN, вход на всякие сайты через MSIE, etc), очевидно, хранятся в форме, предполагающей возможность получения их в открытом виде. К слову, Axapta Object Server Manager из 3-ки (ax32mgr), тоже использует этот механизм: с его помощью он хранит пароли пользователей, под которыми запускаются AOS'ы, если явно задать, под кем их запускать.
С другой стороны, что касается паролей для логинов - в Active Directory в свойствах пользователей есть интересная настройка "Store password using reversible encryption"...

Цитата:

Сообщение от oip

Но при этом обнулить его - дело одной минуты.

О каком пароле речь? Если о виндовом - расскажите, как (особенно в рамках домена)

[Aleksey_M]

gl00mie
>Если о виндовом - расскажите, как (особенно в рамках домена)
На локальной машине - Wininternals ERD Commander (программа locksmith). Насчет домена(без физического доступа до сервера), где-то тут был топик про терморектальный криптоанализ...

[gl00mie]

Цитата:

Сообщение от Aleksey_M

На локальной машине - Wininternals ERD Commander (программа locksmith).

Интересно, кроме варезников оно сейчас где-то доступно? А то по ходу Microsoft после приобретения WinInternals прикрыла этот ERD Commander...

[Aleksey_M]

gl00mie
http://www.microsoft.com/technet/tec...t.aspx?loc=ru/
Во, вот здесь оно упоминается:

Цитата:

Locksmith был одним из самых популярных средств, включенных в набор ERD Commander во времена Winternals. Он позволяет сбросить любой пароль локального пользователя. Он не работает с доменными контроллерами и не может сбросить пароль доменного пользователя; обычно он используется для сброса пароля локального администратора, если тот забыл его, или если пользователь больше не работает в организации.