Комментарии 6
Увы, 1С никогда не славилась трепетным отношением к безопасности и защите, может это и помогло им завоевать практически весь учетный рынок. Статья интересная, спасибо.
Вспоминается… надо поменять прокладку между рулем и сиденьем.
У любого продукта ИТ предназначенного для коллективного использования есть прокладка между пользователями и сервером.
Даже у этого сайта например.
Весь вопрос как она финансируется руководством.
А все для обеспечения безопасности у 1С есть. Ну может почти все, если в умелых руках подержать ;)
У любого продукта ИТ предназначенного для коллективного использования есть прокладка между пользователями и сервером.
Даже у этого сайта например.
Весь вопрос как она финансируется руководством.
А все для обеспечения безопасности у 1С есть. Ну может почти все, если в умелых руках подержать ;)
У них есть серьезные архитектурные промахи, которые делают платформу уязвимее к человеческому фактору: код, данные и пользователи в одной базе, платформа нормально работает только под dbo правами, выпуск релизов с неработающим клиент-серверным шифрованием (ранние 8.3 этим точно грешили), возможность легкого встраивания закладок на запуск любого кода под правами серверного пользователя. Это то, что вспоминается.
Ну а 7.7 вообще лучше в этом ключе не обсуждать, до сих пор security audit вспоминаю как страшный сон.
Ну а 7.7 вообще лучше в этом ключе не обсуждать, до сих пор security audit вспоминаю как страшный сон.
На самом деле — все это появилось с версии 8.3.14 или 8.3.15, до этой версии — нельзя было открыть мобильную конфу просто так, но с тех версий — 1с решила, что разворачивать базы долго на устройстве и лучше кидать шаблон, и таким образом — им надо было базу формировать в стационарной.
Про это проблему знают, и ей уже минимум год, и знают про нее все, кто так или иначе занимается мобильной разработкой.
Все что вы видите — это да, по моему мнению — вина 1С, так как изначально декларировалось, что исходники прочитать нельзя, и так оно и было, а потом 1с переобулись в кувырке, и стало можно, а механизма — как защитить модули, или хотябы константы — нет.
Таким образом у людей был выбор, или прекратить разработку, или рассчитывать на то, что любой может получить доступ к данным.
Люди выбрали второе, в ожидании, пока 1с решит проблему с первым.
Более крупные компании — пишут все нужные вещи в компонентах, чтобы уж точно не прочитали те, кому не надо, но такое могут позволить далеко не все.
С другой стороны, то что можно открыть конфу на компе с данными — позволяет восстановить базу, если она рухнула, или провести тестирование и разработку на реальных данных.
А с учетом того, что 1с платофрма — это система с открытыми исходными кодами (я про конфигурации), то все как то привыкли к этому всему.
Я, в первых релизах — первый просил людей удалять такие статьи, так как это был явный нежданчик для разрабов, но уже прошел год… И если воз и ныне там… То я уже даже не знаю :)
Про это проблему знают, и ей уже минимум год, и знают про нее все, кто так или иначе занимается мобильной разработкой.
Все что вы видите — это да, по моему мнению — вина 1С, так как изначально декларировалось, что исходники прочитать нельзя, и так оно и было, а потом 1с переобулись в кувырке, и стало можно, а механизма — как защитить модули, или хотябы константы — нет.
Таким образом у людей был выбор, или прекратить разработку, или рассчитывать на то, что любой может получить доступ к данным.
Люди выбрали второе, в ожидании, пока 1с решит проблему с первым.
Более крупные компании — пишут все нужные вещи в компонентах, чтобы уж точно не прочитали те, кому не надо, но такое могут позволить далеко не все.
С другой стороны, то что можно открыть конфу на компе с данными — позволяет восстановить базу, если она рухнула, или провести тестирование и разработку на реальных данных.
А с учетом того, что 1с платофрма — это система с открытыми исходными кодами (я про конфигурации), то все как то привыкли к этому всему.
Я, в первых релизах — первый просил людей удалять такие статьи, так как это был явный нежданчик для разрабов, но уже прошел год… И если воз и ныне там… То я уже даже не знаю :)
Я не так сильно погружен в тему, как вы, но на 8.3.15 это закончилось.
Я пробовал на 8.3.15 из последних, 8.3.16 и 8.3.17 код уже закрыт.
И более того, как я написал из 150 приложений только в 23 остался открытым код.
Причем иногда у одного и того же автора есть и такой и такой.
Из этого я делаю вывод, что закрыться можно, но пока не все в курсе.
Иначе бы я не стал эту статью публиковать.
На самом деле у нативных разработчиков — такие же проблемы, они как то выкручиваются.
Я пробовал на 8.3.15 из последних, 8.3.16 и 8.3.17 код уже закрыт.
И более того, как я написал из 150 приложений только в 23 остался открытым код.
Причем иногда у одного и того же автора есть и такой и такой.
Из этого я делаю вывод, что закрыться можно, но пока не все в курсе.
Иначе бы я не стал эту статью публиковать.
На самом деле у нативных разработчиков — такие же проблемы, они как то выкручиваются.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Безопасность мобильных приложений 1С, взгляд по диагонали