AXForum  
Вернуться   AXForum > Microsoft Dynamics AX > DAX: Администрирование
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 23.05.2005, 15:56   #1  
raz is offline
raz
NavAx
Аватар для raz
NavAx Club
Лучший по профессии 2014
Лучший по профессии 2009
 
1,494 / 1065 (38) ++++++++
Регистрация: 22.07.2003
Адрес: МО
Enterprise Portal. Кто что знает.
Интересует мнение специалистов реально с ним работавших. Какие подводные камни и проблемы обнаружены и как решены.

Сейчас изучаю его внутренности.

Мое ИМХО:
1. Возникло подозрение, что в портале есть проблемы с безопасностью. Например, даем доступ к нашей базе клиенту, при определенных уловках, клиент может увидеть чужие данные (попробуйте поигрться с RECID в урлах на заказы клиента). Чтобы этого не произошло надо добавлять фильтр по клиентам в его запросы веб форм или контрольную сумму в URL. Соответственно я начинаю сомневаться, что злонамеренный пользователь может через портал натворить делов. Я для решения проблемы попытался добавить контрольную сумму, но это работает для метода GET, для POST сделать сложнее, т.к. он построен на редактируемых полях.

2. Возникло ощущуение, что медленно работает. Тестирую конечно на обычной машине, но значительно отличается по скорости от различных интернет магазинов.

Надеюсь найдутся желающие подискутировать.
Старый 24.05.2005, 08:43   #2  
Михаил Андреев is offline
Михаил Андреев
Участник
Компания АМАНД
Лучший по профессии 2009
 
1,296 / 239 (10) ++++++
Регистрация: 09.11.2001
Адрес: Химки, Московская область
Подводный камень был один (CSS для версии 2.5) - если таймаут между IIS и AOS более 30 мс, пятеро активных пользователей способны повесить портал за пол-часа. Поэтому этот параметр нужно более чем отслеживать.
__________________
Михаил Андреев
https://www.amand.ru
Старый 24.05.2005, 17:25   #3  
Dimonishe is offline
Dimonishe
Участник
 
33 / 10 (1) +
Регистрация: 24.05.2005
Адрес: Донецк/Москва
А вот у меня возникло впечатление что EPortal сыроват. И работает действительно медленно. Код большинства магазинов работает с базой напрямую, а вот епортал нет. Мое мнение - если надо что-то писать с аксаптой под интернет, надо юзать сом конектор и писать все руками на ASP или PHP. Будет и быстрее и надежней и безопасней.
Старый 25.05.2005, 11:40   #4  
raz is offline
raz
NavAx
Аватар для raz
NavAx Club
Лучший по профессии 2014
Лучший по профессии 2009
 
1,494 / 1065 (38) ++++++++
Регистрация: 22.07.2003
Адрес: МО
Видимо спецы не желают делиться сокровенным знанием

Сегодня, занимаясь изучением портала на примере иностранных сайтов, удалось с помощью нехитрых манипуляций получить доступ к данным одной финской фирмы, к которым доступ должен отсутсвовать. На том портале видимо проблема с настройкой безопасности - пользователь COM коннекотра имеет слишком много прав. Данный случай внушает опасения.

2 Dimonishe
Цитата:
Мое мнение - если надо что-то писать с аксаптой под интернет, надо юзать сом конектор и писать все руками на ASP или PHP.
Не согласен с этим. Тогда придется реализовывать и бизнес-логику, а потом еще и поддерживать ее и в Аксапте, и в портале.
Старый 26.05.2005, 15:40   #5  
Dimonishe is offline
Dimonishe
Участник
 
33 / 10 (1) +
Регистрация: 24.05.2005
Адрес: Донецк/Москва
А зачем реализовывать бизнес логику?? Можно ведь пользовать уже реализованную стандартную в аксапте. Ведь через com можно из ASP вызывать любые аксаптовские методы, обращаться к любым классам или таблицам (Что в общем то и делает логика портала). Конечно же, такой масштабной функциональности как в портале добиться будет довольно сложно (т.е. долго), но вот для конкретного бизнес-процесса это вполне реально. И боков с безопасностью будет меньше.
Старый 26.05.2005, 16:09   #6  
raz is offline
raz
NavAx
Аватар для raz
NavAx Club
Лучший по профессии 2014
Лучший по профессии 2009
 
1,494 / 1065 (38) ++++++++
Регистрация: 22.07.2003
Адрес: МО
Цитата:
Можно ведь пользовать уже реализованную стандартную в аксапте. Ведь через com можно из ASP вызывать любые аксаптовские методы, обращаться к любым классам или таблицам
Ну это и так есть в стандартном портале. Т.е. "писать все руками на ASP или PHP" не имеет смысла, если все равно надо будет использовать бизнес-логику.


PS. Хочу исправиться насчет медленности портала, теперь портал работает более мнее шустро на тестовом железе. Проблема как оказалось в моем алгоритме защиты URL от подмены, в котором как часть алгоритма использовался Dictionary.buildPassword(), который и тормозил весь процесс. После упрощения алгоритма все пришло в норму.
Старый 06.06.2005, 10:42   #7  
raz is offline
raz
NavAx
Аватар для raz
NavAx Club
Лучший по профессии 2014
Лучший по профессии 2009
 
1,494 / 1065 (38) ++++++++
Регистрация: 22.07.2003
Адрес: МО
Никто не спешит обсуждать

Вчера обнаружил еще одну проблему с безопасностью в портале:
Если используется функциональность документооборота и документы хранятся в базе данных, то любой посетитель портала без логина может все их выкачать, также можно выкачать все изображения, которые хранятся в CompanyImages, это и фотографии сотрудников и фото номенклатур. Конечно для этого надо приложить усилия, написать скрипт использующий перебор, но в течении некоторого времени все можно выкачать.

Дырку заткнул при помощи опять же проверки конрольной суммы URL.
Старый 06.06.2005, 11:23   #8  
ahtoh
Гость
 
n/a
ты найденные дыры в безопасности в Майкрософт отсылай, пускай исправляют =)
Старый 06.06.2005, 11:37   #9  
George Nordic is offline
George Nordic
Модератор
Аватар для George Nordic
Злыдни
 
4,479 / 1250 (50) ++++++++
Регистрация: 17.12.2003
Адрес: Moscow
Записей в блоге: 9
Ага. Разбежались!

http://www.axforum.info/forums/showt...0&pagenumber=1

В какой версии? в пятой?

С Уважением,
Георгий.
Старый 06.06.2005, 11:43   #10  
raz is offline
raz
NavAx
Аватар для raz
NavAx Club
Лучший по профессии 2014
Лучший по профессии 2009
 
1,494 / 1065 (38) ++++++++
Регистрация: 22.07.2003
Адрес: МО
Цитата:
Изначально опубликовано ahtoh
ты найденные дыры в безопасности в Майкрософт отсылай, пускай исправляют =)
ИМХО, пока не написать скрипт и не выложить его в общий доступ, M$ не пошевелиться.
Старый 06.06.2005, 12:11   #11  
kvan is offline
kvan
Moderator
Аватар для kvan
Дети Юза
 
775 / 49 (3) +
Регистрация: 07.08.2002
Адрес: Donetsk
Цитата:
ИМХО, пока не написать скрипт и не выложить его в общий доступ, M$ не пошевелиться.
Так может устроить мелкософту Публичный тестовый забег - 3 ?
Теги
ax3.0, enterprise portal, безопасность, корпоративный портал

 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
Solutions Monkey: Microsoft Dynamics AX 2009 Enterprise Portal / Role Centers - Deployment Tips-n-Tricks – 3 Blog bot DAX Blogs 0 27.10.2008 08:05
Solutions Monkey: Enterprise Portal Screencasts at Channel9.msdn.com Blog bot DAX Blogs 6 01.07.2008 19:38
jinx: Microsoft Dynamics AX 2009 Enterprise Portal Entwicklung Samples Blog bot DAX auf Deutsch 0 27.06.2008 04:06
Solutions Monkey: Microsofty Dynamics AX 2009 Enterprise Portal / Role Centers - Deployment Tips-n-Tricks - 1 Blog bot DAX Blogs 0 26.06.2008 09:05
JOPX: Integrating MOSS 2007 and Dynamics AX Part II - installing and configuring Dynamics AX Enterprise Portal Blog bot DAX Blogs 0 02.03.2008 06:42

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 18:46.