Enterprise Portal. Кто что знает.

[raz]

Интересует мнение специалистов реально с ним работавших. Какие подводные камни и проблемы обнаружены и как решены.

Сейчас изучаю его внутренности.

Мое ИМХО:
1. Возникло подозрение, что в портале есть проблемы с безопасностью. Например, даем доступ к нашей базе клиенту, при определенных уловках, клиент может увидеть чужие данные (попробуйте поигрться с RECID в урлах на заказы клиента). Чтобы этого не произошло надо добавлять фильтр по клиентам в его запросы веб форм или контрольную сумму в URL. Соответственно я начинаю сомневаться, что злонамеренный пользователь может через портал натворить делов. Я для решения проблемы попытался добавить контрольную сумму, но это работает для метода GET, для POST сделать сложнее, т.к. он построен на редактируемых полях.

2. Возникло ощущуение, что медленно работает. Тестирую конечно на обычной машине, но значительно отличается по скорости от различных интернет магазинов.

Надеюсь найдутся желающие подискутировать.

[Михаил Андреев]

Подводный камень был один (CSS для версии 2.5) - если таймаут между IIS и AOS более 30 мс, пятеро активных пользователей способны повесить портал за пол-часа. Поэтому этот параметр нужно более чем отслеживать.

[Dimonishe]

А вот у меня возникло впечатление что EPortal сыроват. И работает действительно медленно. Код большинства магазинов работает с базой напрямую, а вот епортал нет. Мое мнение - если надо что-то писать с аксаптой под интернет, надо юзать сом конектор и писать все руками на ASP или PHP. Будет и быстрее и надежней и безопасней.

[raz]

Видимо спецы не желают делиться сокровенным знанием

Сегодня, занимаясь изучением портала на примере иностранных сайтов, удалось с помощью нехитрых манипуляций получить доступ к данным одной финской фирмы, к которым доступ должен отсутсвовать. На том портале видимо проблема с настройкой безопасности - пользователь COM коннекотра имеет слишком много прав. Данный случай внушает опасения.

2 Dimonishe

Цитата:

Мое мнение - если надо что-то писать с аксаптой под интернет, надо юзать сом конектор и писать все руками на ASP или PHP.

Не согласен с этим. Тогда придется реализовывать и бизнес-логику, а потом еще и поддерживать ее и в Аксапте, и в портале.

[Dimonishe]

А зачем реализовывать бизнес логику?? Можно ведь пользовать уже реализованную стандартную в аксапте. Ведь через com можно из ASP вызывать любые аксаптовские методы, обращаться к любым классам или таблицам (Что в общем то и делает логика портала). Конечно же, такой масштабной функциональности как в портале добиться будет довольно сложно (т.е. долго), но вот для конкретного бизнес-процесса это вполне реально. И боков с безопасностью будет меньше.

[raz]

Цитата:

Можно ведь пользовать уже реализованную стандартную в аксапте. Ведь через com можно из ASP вызывать любые аксаптовские методы, обращаться к любым классам или таблицам

Ну это и так есть в стандартном портале. Т.е. "писать все руками на ASP или PHP" не имеет смысла, если все равно надо будет использовать бизнес-логику.


PS. Хочу исправиться насчет медленности портала, теперь портал работает более мнее шустро на тестовом железе. Проблема как оказалось в моем алгоритме защиты URL от подмены, в котором как часть алгоритма использовался Dictionary.buildPassword(), который и тормозил весь процесс. После упрощения алгоритма все пришло в норму.

[raz]

Никто не спешит обсуждать

Вчера обнаружил еще одну проблему с безопасностью в портале:
Если используется функциональность документооборота и документы хранятся в базе данных, то любой посетитель портала без логина может все их выкачать, также можно выкачать все изображения, которые хранятся в CompanyImages, это и фотографии сотрудников и фото номенклатур. Конечно для этого надо приложить усилия, написать скрипт использующий перебор, но в течении некоторого времени все можно выкачать.

Дырку заткнул при помощи опять же проверки конрольной суммы URL.

ты найденные дыры в безопасности в Майкрософт отсылай, пускай исправляют =)

[George Nordic]

Ага. Разбежались!

http://www.axforum.info/forums/showt...0&pagenumber=1

В какой версии? в пятой?

С Уважением,
Георгий.

[raz]

Цитата:

Изначально опубликовано ahtoh
ты найденные дыры в безопасности в Майкрософт отсылай, пускай исправляют =)

ИМХО, пока не написать скрипт и не выложить его в общий доступ, M$ не пошевелиться.

[kvan]

Цитата:

ИМХО, пока не написать скрипт и не выложить его в общий доступ, M$ не пошевелиться.

Так может устроить мелкософту Публичный тестовый забег - 3 ?