21.09.2010 09:08
Yaroslavch
 
Заметил что этот логин и пароль с вседозволенностью в супермаговской базе у всех, кто то менял хотя бы пароль?
21.09.2010 09:22
Dim
 
когда своих хакеров доморощенных нет, в принципе не страшно... был у нас один такой... оператором работал... так тоже боялся переступать определенные границы...
21.09.2010 09:33
Yaroslavch
 
Цитата:
Dim когда своих хакеров доморощенных нет, в принципе не страшно... был у нас один такой... оператором работал... так тоже боялся переступать определенные границы...
в смысле? не совсем понял особенно последнее.
Я то отчеты пишу и не админю, так что мне не отвечать за такую дыру, но уже не в одной конторе встречал такой феномен и интересно, может это как то связано с спецификой базы, и на сколько он там вообще обязателен быть.
21.09.2010 09:37
Dim
 
у нас к этиму оператором было опеределенное доверие. были обозначены некие рамки, через которые он не должен был переступать, а мы закрывали глаза на некоторые его упражнения в хакерстве )
21.09.2010 09:42
Yaroslavch
 
Цитата:
Dim у нас к этиму оператором было опеределенное доверие. были обозначены некие рамки, через которые он не должен был переступать, а мы закрывали глаза на некоторые его упражнения в хакерстве )
то есть вы хотите сказать, что система доступа в супермага деревяна и не управляет правами доступом к таблицам и работает только в самом клиенте?

ну тогда тем более не понятно зачем таблица с паролями и логинами лежит даже не кодирована, хотя бы хекс ее загнали или еще как.
21.09.2010 09:45
John Doe
 
Цитата:
Yaroslavch Заметил что этот логин и пароль с вседозволенностью в супермаговской базе у всех, кто то менял хотя бы пароль?
Я как-то менял, потом забил. В интерфейсе у него дозволенности нет, триггера только дропать, иначе оптимизатор их обратно включает при очередном проходе... Как два пальца - запрет логона под ним с другого, кроме сервера, компа или аудит (только с почтовиком замучаешься)... В общем, недостойная для беспокойства тема. Есть и другие "дыры". С хакерами надо бороться и административно. Только в среде работы Супермага их крайне мало...
21.09.2010 09:52
Yaroslavch
 
Цитата:
John Doe Я как-то менял, потом забил. В интерфейсе у него дозволенности нет, триггера только дропать, иначе оптимизатор их обратно включает при очередном проходе... Как два пальца - запрет логона под ним с другого, кроме сервера, компа или аудит (только с почтовиком замучаешься)... В общем, недостойная для беспокойства тема. Есть и другие "дыры". С хакерами надо бороться и административно. Только в среде работы Супермага их крайне мало...
Спасибо... все таки он нужен для СМ2К...
а как бороться с внешними хакерами? для этого в оракле и создана серьезная система управления доступом. Уж слишком низкая квалификация у Админов которые этим занимаются или просто не хотят, а мне как то клиентов не охото терять.
21.09.2010 09:58
John Doe
 
Конечно, дело только в квалификации и желании. Так-то можно так гайки закрутить, с проверкой сложности паролей, регулярной сменой и аудитом, что все запищат... Все по взрослому в оракле. Просто лень разбираться и учиться...
21.09.2010 10:07
John Doe
 
Цитата:
Yaroslavch то есть вы хотите сказать, что система доступа в супермага деревяна и не управляет правами доступом к таблицам и работает только в самом клиенте?
Ни разу. Попробуйте зайти под именем пользователя и паролем через какую-то другую программу и сделать гадость, недоступную по правам этому пользователю :)
Цитата:
Yaroslavch ну тогда тем более не понятно зачем таблица с паролями и логинами лежит даже не кодирована, хотя бы хекс ее загнали или еще как.
Это табличка чисто соответствия имени пользователя и фамилии. Паролей там нет. Зачем ее кодировать?
21.09.2010 10:22
Yaroslavch
 
Цитата:
John Doe Это табличка чисто соответствия имени пользователя и фамилии. Паролей там нет. Зачем ее кодировать?
Мы наверное про разные таблички говорим. но пароли там есть и есть еще и пароли кассиров. а это ваще АХТУНГ.
Часовой пояс GMT +3, время: 17:44.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.