Результаты опроса: Хотите ли вы перейти на версию Oracle 9i
Уже работаю на ней 6 28.57%
Хочу и перейду, как будет время 11 52.38%
Хочу, но совсем не умею и боюсь, не буду 1 4.76%
Не хочу 3 14.29%
Голосовавшие: 21. Вы ещё не голосовали в этом опросе

[ОТВЕТИТЬ]
03.08.2006 17:08
OlegON
 
Цитата:
kadr
Цитата:
olegon Исходим из того, что сотрудников, которые могут заходить в админ.модуль очень мало.
В Адм. Модуль может зайти любой, как минимум сменить пароль
Ты меня пугаешь... Если уж так чешется менять пароль и влом админу это делать, написать им отдельную тулзу с одним окошком... В админ всех подряд пускать нельзя.
03.08.2006 18:00
bob
 
С доступом к Сотрудникам я разобрался . Нужно GRANT SELECT ON SYS.DBA_USERS TO SUPERMAG_MODULE ADMIN; выполнить
04.08.2006 08:02
kadr
 
Цитата:
olegon В админ всех подряд пускать нельзя.
Так в том то и дело, что доступ всем в адм. модуль заложен разработчиками
04.08.2006 08:29
OlegON
 
Цитата:
kadr
Цитата:
olegon В админ всех подряд пускать нельзя.
Так в том то и дело, что доступ всем в адм. модуль заложен разработчиками
На самом деле там все проще, но я, хоть и ругаюсь, но одобряю политику неустановки Адм. модуля на рабочих станциях вообще.
04.08.2006 08:36
kadr
 
Политика политикой, но реальность не перебороть, даже если на одном компе магазина установлен адм. модуль уже плохо, но если не ставить, то значит обречь себя на достаточно большие проблемы в будущем, причём проблемы не явно выражены и определены
04.08.2006 08:39
OlegON
 
Цитата:
kadr Политика политикой, но реальность не перебороть, даже если на одном компе магазина установлен адм. модуль уже плохо, но если не ставить, то значит обречь себя на достаточно большие проблемы в будущем, причём проблемы не явно выражены и определены
Ну, а если напрячься и подумать? Я просто не вижу таких проблем, за исключением, может, того, что придется заставить что-то сделать по телефону без доступа на сервак.
04.08.2006 08:49
kadr
 
olegon, я про то, что если в магазине не ставить адм. модуль совсем, то в один прекрасный момент, при потере связи м/у офисом и магазином ничего из функций адм. модуля невозможно будет выполнить.
А если всё таки поставить, то рано или поздно сотрудники доберутся и в рамках своих прав смогут его запускать, другой вопрос, что серъёзного они ничего не смогут сделать из-за отсутсвия прав. Но принципиального "В админ всех подряд пускать нельзя" у не получится
04.08.2006 09:02
RKuzmin
 
можно вклиниться? :)))))))
Вопрос обсуждается довольно странный: "можно ли давать всем доступ в админ модуль". Это то же самое что повесить на стене лист с именем пользователя "SYS" и его паролем на оракул.
Это ж в рамки безопасности не укладывается. Каждый человек совершает ошибки. А не знающий, не опытный тем более. Поэтому нельзя давать доступ всем. За это должен отвечать один человек или группа админов.
Что значит: "при потере связи ничего сделать нельзя?"
Какой связи? Удаленного доступа, речевой телефонной. Когда нет удаленнки, остается межгород, есть же еще сотовые телефоны.
Звоним оператору (запоминаем его фамилию, время), говорим ему пароль и как чего сделать. Далее когда проблема решена, как можно скорее меняем пароль.
Так что мое мнение: это хранить ключи от сейфа только у одного человека (а лучше у двух, вдруг один потеряет :))))) )
04.08.2006 09:09
Mtirt
 
Я согласна не ставить адм. модуль на клиентских машинах, если С+ сделает возможность смены пароля пользователем прямо из интерфейса Супермага.
И в результате предыдущего поста пришла к выводу, что хоть на одной машине, но адм. модуль должен стоять.
Или предлагаете объяснять по телефону, как переставить Супермаг и какие галочки надо там поставить?
04.08.2006 09:50
akonev
 
можно и объянить как переставить. процедура-то нехитрая.
если оператор не дурнее табуретки - пять минут на все.
но лично я предпочитаю все-таки ставить хоть один админ.
есть еще один хороший вариант: ставить, но запрещать запуск в политике. точнее, разрешать только то, что им можно. заодно отпадают проблемы с игрушками и прочей подобной дребеденью.
04.08.2006 10:30
kadr
 
RKuzmin, Я уже обяснял, НЕВОЗМОЖНО (переубедите меня в терминах СМ2000 если я не прав) запретить доступ пользователям СМ в адм. модуль, если у этого пользователя стоит галочка "доступ разрешён" он сможет (запустить неправильно выразился) войти (будет правильнее) адм. модуль, а вот что он сможет там сделать это уже рулится правами.
Поставьте маленький эксперимент, создайте пользователя абсолютно без прав, только с галочкой "Доступ разрешён" и попробуйте войти в адм. модуль. И потом расскажите мне как запретить средствами СМ такое безобразие.
А по поводу парлоя SYS`а я так вам скажу, около 2-х месяцев назад в Oracle обнаружили большущую дыру, суть в том что ЛЮБОЙ пользователь имеющий права на селект, а в некоторых случаях достаточно прав на коннект, при написание запроса в анси синтаксисе мог изменять таблицы на которые ему не давали таких прав. Эта ошибка наблюдается во всех версиях начиная с 7. Эта ошибка до сих пор не исправлена.
Можете почитать:
Или здесь:
04.08.2006 10:48
deucel
 
Как писал
Цитата:
Andrew_Konev есть еще один хороший вариант: ставить, но запрещать запуск в политике.
и просто можно удалить ярлык, запустить без ярлыка думаю не сложно *06
04.08.2006 11:53
kadr
 
Мы немного отклонились, я утверждаю, что в адм. модуль может зайти любой, а olegon обратное:

Цитата:
olegon Исходим из того, что сотрудников, которые могут заходить в админ.модуль очень мало.
в то время:
Цитата:
Andrew_Konev ставить, но запрещать запуск в политике.
думаю что все прекрасно понимают разницу между словами заходить и запускать
04.08.2006 12:06
RKuzmin
 
На счет дыр в ORACLE я знаю уже давно. (Переполнение стека, там много всего). Где даже была статья - 36 способов завладеть секрет инфо, хранящейся в ORACLE. Но позвольте уточнить, чтобы это СДЕЛАТЬ НУЖНО ИМЕТЬ ЗНАНИЯ не ниже админского + програмерского. ОЧЕНь сомневаюсь што операторы в магазине вообще знают что такое СТЭК и Хран процедура. А уж если вася из 5 класса поставить задачу хакнуть защиту БД, то он ее хакнет. Уж поверьте мне. Но не берите такого васю на работу :))).
04.08.2006 12:09
RKuzmin
 
from Kadr>> "RKuzmin, Я уже обяснял, НЕВОЗМОЖНО (переубедите меня в терминах СМ2000 если я не прав) запретить доступ пользователям СМ в адм. модуль, если у этого пользователя стоит галочка "доступ разрешён" он сможет запустить адм. модуль, а вот что он сможет там сделать это уже рулится правами. "

Причем здесь это! Не подпускайте к компу где стоит админ модуль всех кого попало. Сделайте защиту пароля экранной заставки и т.п.
Ставить админ модуль конечно надо. Но ограничивать к нему доступ.
04.08.2006 12:14
kadr
 
RKuzmin, Знание сила. Да пребудет с тобой СИЛА *07
04.08.2006 12:17
kadr
 
Цитата:
RKuzmin from Kadr>> "RKuzmin, Я уже обяснял, НЕВОЗМОЖНО (переубедите меня в терминах СМ2000 если я не прав) запретить доступ пользователям СМ в адм. модуль, если у этого пользователя стоит галочка "доступ разрешён" он сможет запустить адм. модуль, а вот что он сможет там сделать это уже рулится правами. "

Причем здесь это! Не подпускайте к компу где стоит админ модуль всех кого попало. Сделайте защиту пароля экранной заставки и т.п.
Ставить админ модуль конечно надо. Но ограничивать к нему доступ.
Вот именно это и причём. Таки мы хотим ему запретить запускать или запретить заходить
04.08.2006 13:00
akonev
 
Цитата:
kadr думаю что все прекрасно понимают разницу между словами заходить и запускать
мне пока не попадались юзеры, способные зайти в админ.модуль не запуская его. *04
поэтому любой способ ограничить доступ я считаю адекватным.
тоже, наверное, всем очевидно: невозможно ограничить доступ к данным только на уровне приложения и БД.
если юзера все-таки надо допустить до функций админ.модуля - давайте разберемся до каких.
про смену пароля олег ветку уже сделал.
04.08.2006 13:34
OlegON
 
Если будете продолжать тему - предлагаю открыть отдельную ветку. Тут вообще-то голосование с комментариями было, совсем не в ту степь.
04.08.2006 13:39
kadr
 
Andrew_Konev, ИМХО мы тут ломали копья лишь по той причине, что не определись в терминах.
Ведь очень много разногласий возникает именно из-за этого.
Хотим ограничить доступ к приложению это одно, а запретить выполнять это другое и реализация совершенно другая.
Ведь если мы хотим запретить пользователю менять настройки БД, запретить доступ к рассчёту аналитики, запретить доступ к управлению пользователями, то из этого не следует, что мы должны запретить запускать приложение.


Опции темы


Часовой пояс GMT +3, время: 12:44.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.