Комментарии 23
Вычисление хеш-функции производится по алгоритму SHA-1 – алгоритм хороший, надежный, известный.
Нет, это не так. В 2022 году sha1 считается небезопасным алгоритмом шифрования (https://cwe.mitre.org/data/definitions/327.html) и следует использовать более надежные алгоритмы, например SHA256.
Спасибо, весьма познавательно про безопасность 1С.
Модель построения продакшина и девеоа устарела лет на десять - давно все в виртуалках, одна виртуалка - одна задача. Бекапы машин, снапшоты и тд, я еще выливаю все в основное в вандрайв.
Все потому, что я изначально закладываюсь, на то что сервер взломали, а базы просто дропнули в любой произвольный момент. Да неприятно потерять пол дня работы, но это лучше чем посроить неломаемую систему и потом потерять все. Пример убитых полностью сетей я наблюдал, хотя там ни один байтик мимо админа не проскакивал
Согласен с вами. Но далеко не у каждой организации есть средства / возможности / понимание на развертывание описанной вами модели. Исходя из моей практики, на "среднестатистическом российском предприятии" на момент этого комментария, как правило, используется описанная в статье схема организации работы.
Спасибо, интересно
Нужно всегда определять администраторов кластеров 1С.
Не только кластеров, но и серверов, причём администраторы серверов между серверами разработки и боевыми не должны пересекаться. Иначе, например, сервер разработки может "попросить" боевой сервер добавить рабочий процесс, выполняемый вне основного кластера на этом боевом сервере.
В общем, статья добротная, но приведённый пример, показывает, что кроличья нора гораааздо глубже.
Унылая шлянь. Все начиналось с нечистоплотности стороннего разработчика и вышеописанный пак трюкачества будет иметь смысл для написателей отчетов уровня "пучок за рубль". Для серьезной сторонней разработки все равно нужно будет давать полные доступы и разграничивать ответственность не техническими средствами, а юридическими. Отличная статья, в плане теории, не имеющая отношения к практике.
Подскажите пожалуйста я же правильно понимаю что в вашем примере тестовый контур не изолирован от основного?
На мой взгляд это основная проблема в безопасности. Если развести по разным контурам то проблему полных прав внешних подрядчиков этот решит.
Внутренние пользователи не должны иметь доступа к внешним обработкам и полного доступа, а так же админских прав.
Выглядит не очень сложно.
Если подрядчику требуется работать в общем контуре то только в рамках обычных прав и под запись видео его сеанса.
А если нет права на возможность открытия внешних обработок, то как? Есть еще другие варианты, что бы проверить свою систему?
Как я написал, все же еще остаются средства по перебору паролей в 1С и простые числовые пароли могут быть подобраны таким образом.
Ну а если попадется злоумышленник с полными правами (например внешний специалист, которому по роду деятельности полные права нужны) то далее все что в статье остается актуальным.
Добрый вечер. а что за сайт / программа что расшифровывает 1CV8Clst.lst?
"для 1С существуют и программы по перебору паролей" - впервые слышу. ощущение, что живу в информационном вакууме. напишите хоть одно название
Как удалось Привилегированный режим установить во внешней обработке?
История одного взлома 1С или проверьте вашу систему на безопасность