Обсуждение " Не пускайте программистов в рабочее приложение! Или почему еще надо переходить на DAX4"

[Raven Melancholic]

Цитата:

Сообщение от gl00mie

Единственным более-менее надежным способом сохранить в тайне логин/пароль, используемый AOS'м для подключения к базе Axapta 3.0, в этой связи видится следующий: четко разделить функции администратора системы Axapta и разработчика и оставить доступ к (рабочему) приложению только администратору.[/FONT]

А почему разработчику доверия нет, а администратору есть? Можно же дальше пойти - административный доступ только у службы безопасности, когда нужно что-то выполнить админу или разработчику - служба безопасности выдает временный логин, который после работ удаляет. Ещу лучше после выполнения работ админа пристрелить, но этого не позволяет ситуация на рынке труда.
Кстати, данная проблема не только у Аксы. В принципе, в любой системе, если пароль где-то хранится, то найдутся люди, которым смогут его получить (в той же 1С получить параметры соединения проблем нет - в V7.7 вообще элементарно, в V8 посложнее).

[mazzy]

Цитата:

Сообщение от Raven Melancholic

В принципе, в любой системе, если пароль где-то хранится, то найдутся люди, которым смогут его получить (в той же 1С получить параметры соединения проблем нет - в V7.7 вообще элементарно, в V8 посложнее).

Нет, конечно. Не в любой. В последних виндах пароль не хранится, а хранится хэш пароля. Не стоит приводить 1С в качестве примера, по-моему. Может стоит почитать на эту тему?

[oip]

Цитата:

Сообщение от mazzy

В последних виндах пароль не хранится, а хранится хэш пароля.

Но при этом обнулить его - дело одной минуты.

[belugin]

Цитата:

Сообщение от oip

Но при этом обнулить его - дело одной минуты.

Но при этом нельзя сказать что "так и было".

[Aleksey_M]

Цитата:

Сообщение от belugin

Но при этом нельзя сказать что "так и было".

Думаю, что можно, записав старый хеш назад. Хотя может не прокатить

[gl00mie]

Цитата:

Сообщение от Raven Melancholic

А почему разработчику доверия нет, а администратору есть?

У администратора системы Axapta, как правило, совершенно иная, нежели у разработчика, должностная инструкция, иные права и обязанности, иная степень ответственности. Что же касается ограничения прав доступа администраторов, то я свое мнение об этом уже высказывал.

Цитата:

Сообщение от Raven Melancholic

Можно же дальше пойти - административный доступ только у службы безопасности, когда нужно что-то выполнить админу или разработчику - служба безопасности выдает временный логин, который после работ удаляет.

"Дайте мне временный логин администратора, и я переверну Землю!"

Цитата:

Сообщение от Lazy_Tiger

мне кажется что это как то не совсем верно. у администратора квалификации хватит? Я к тому что xpo иногда не достаточно импортировать. возможно потребуется написание и запуск джобиков, контроль результатов, допиливание по месту напильником и т.д...

Я обычно job'ики, необходимые для накатывания модификации, пишу сам и включаю в проект (вместе с соотв. пунктами меню, запускающими job'ик на сервере), а также пишу, где, как и зачем их запускать.

Цитата:

Сообщение от Lazy_Tiger

Ну и по итогу смысл? От программеров и админов все равно не защититься.

Подумайте вот о чем: в настройке прав доступа есть отдельная самостоятельная ветка "Разработка" с разграничением доступа разработчиков на уровне отдельных таблиц, слоев, элементов MorphX... Не уверен, что кто-то из посетителей форума пользуется этой возможностью разграничения доступа, но она есть, "значит, это кому-нибудь нужно". А описанная "возможность" сводит эффект подобных настроек на нет.

Цитата:

Сообщение от mazzy

Цитата:

Сообщение от Raven Melancholic

Кстати, данная проблема не только у Аксы. В принципе, в любой системе, если пароль где-то хранится, то найдутся люди, которым смогут его получить.

Нет, конечно. Не в любой. В последних виндах пароль не хранится, а хранится хэш пароля.

Собственно, давайте разделять пароли для логина и всякие другие пароли (для доступа к сайтам в инете, для подключения по VPN и проч.). Хэш вместо самого пароля для логина в виндах хранится уже очень давно, во всяком случае l0phtcrack еще во времена NT4 по файлу SAM (%SystemRoot%\system32\config\sam, он же hklm\sam\sam) пароли именно подбирала. Пароли же, сохраняемые в hklm\security для прочих нужд (подключения по VPN, вход на всякие сайты через MSIE, etc), очевидно, хранятся в форме, предполагающей возможность получения их в открытом виде. К слову, Axapta Object Server Manager из 3-ки (ax32mgr), тоже использует этот механизм: с его помощью он хранит пароли пользователей, под которыми запускаются AOS'ы, если явно задать, под кем их запускать.
С другой стороны, что касается паролей для логинов - в Active Directory в свойствах пользователей есть интересная настройка "Store password using reversible encryption"...

Цитата:

Сообщение от oip

Но при этом обнулить его - дело одной минуты.

О каком пароле речь? Если о виндовом - расскажите, как (особенно в рамках домена)