v8: Дыры безопасности 1С 80, взлом и защита от него
Ключевые слова: 1С,безопасность
Опасность в табло
Не все программисты помнят, что нужно отключать пользователям табло.
Из табло легко можно вызвать любую внешнюю обработку, например так:
ВнешниеОбработки.ПолучитьФорму("Полное имя файла").ОткрытьМодально()
Метод Открыть не работает, т.к. это процедура, а ОткрытьМодально - функция.
Хотя если у пользователя стоит запрет на программное(не инерактивное) чтение внешних обработок, он не сможет выполнить такой трюк.
Регламентированная отчетность
У многих пользователей включена возможность обновлять регламентированную отчетность.
Под видом регламентного отчета можно загрузить любую внешнюю обработку.
Защита: размещать файлы с обновлениями в специальном каталоге, доступном пользователю только на чтение. Проверять файлы, которые пользователь хочет обновить и размещать их самому в этом каталоге.
SQL сервер
Данные на SQL сервере хранятся в незашифрованном виде.
Если пользователь получит доступ на SQL сервер, он может стащить таблицы, даже не зная паролей к 1С. А эти таблицы легко поддаются анализу. :) В файловом варианте сложнее.
|