@@Tavalik белые и чёрные айпи-адреса например, если подключаемый адрес не входит в белые или наоборот входит в чёрные - просто не даём зайти, соответственно даже при компрометации внешнего временного входа, создаём ещё одну дополнительную проблему злоумышленнику по подбору валидного апишника. ну и постоянный контроль за подозрительной активностью, тем более за внешними временными подключениями. А то что Вы расписали - СБ вообще мышей не ловит... Что эта безопасность есть, что нету - один вывод: не за что им платить. Считаю, что такими, поднятыми вопросами, должны заниматься как раз безопасники. 1С-ник, даже человек-орккестр, на крайняк - администратор бд 1С, максимум должен знать, но не настраивать и тем более поддерживать это.
@@Tavalik 90%, думаю отсекутся, а от подбора паролей поможет доменная авторизация да запрет запускать внешние обработки. И контроль в первую очередь. В описанном Вами взломе виноват не 1С-ник, а владелец бизнеса, не предусмотревший нормальную СБ. В крайнем случае - вина 1С-ника в том, что он не донёс это понимание до необходимых ЛПР. З.Ы. Забыл Вас поблагодарить за swpuser.ini
@@LiffeApp Через внешнюю обработку в видео я получал полные права в базе. А если, к примеру, полные права уже есть? Если это внешний разработчик или прочий суперпользователь, то все актуально. Ну и кроме внешних обработок, есть СОМ-объекты и редактируемый пользователь код, который выполняется в "Выполнить" без безопасного режима (в типовых почти нет).
Ассалаумалейкум 😢 помошь нада 1с пропал или взломали, помогите
Про доменную авторизацию - упомянуто. Остальное - куча роялей в кустах... У меня один вопрос - что мешает установить контроль внешних адресов?
Не совсем вас понял, что конкретно вы имеете в виду? Можете привести пример, от какого пункта итогового списка как еще можно защититься?
@@Tavalik белые и чёрные айпи-адреса например, если подключаемый адрес не входит в белые или наоборот входит в чёрные - просто не даём зайти, соответственно даже при компрометации внешнего временного входа, создаём ещё одну дополнительную проблему злоумышленнику по подбору валидного апишника. ну и постоянный контроль за подозрительной активностью, тем более за внешними временными подключениями. А то что Вы расписали - СБ вообще мышей не ловит... Что эта безопасность есть, что нету - один вывод: не за что им платить. Считаю, что такими, поднятыми вопросами, должны заниматься как раз безопасники. 1С-ник, даже человек-орккестр, на крайняк - администратор бд 1С, максимум должен знать, но не настраивать и тем более поддерживать это.
@@andresoso311 Вы, конечно, правы, только от подбора паролей и выполнении действий на сервере 1С через внешнюю обработку это не поможет, к сожалению.
@@Tavalik 90%, думаю отсекутся, а от подбора паролей поможет доменная авторизация да запрет запускать внешние обработки. И контроль в первую очередь. В описанном Вами взломе виноват не 1С-ник, а владелец бизнеса, не предусмотревший нормальную СБ. В крайнем случае - вина 1С-ника в том, что он не донёс это понимание до необходимых ЛПР. З.Ы. Забыл Вас поблагодарить за swpuser.ini
спасибо
А где можно взять такую консоль кода ?
В типовой консоле запросов только запросы.
Их есть много разных. Конкретно в этом видео использовалась вот эта: infostart.ru/public/1266087/
@@Tavalik можно резюмировать. если отключить внешние обработки - то весь рассказ в топку получается?
@@LiffeApp Через внешнюю обработку в видео я получал полные права в базе. А если, к примеру, полные права уже есть? Если это внешний разработчик или прочий суперпользователь, то все актуально. Ну и кроме внешних обработок, есть СОМ-объекты и редактируемый пользователь код, который выполняется в "Выполнить" без безопасного режима (в типовых почти нет).
@@Tavalik понял. Спасибо. Завтра попробую куда нибудь на собеседование сходить и поломать базы ))))
@@LiffeApp Так, в докладе я рассказываю о том, как ЗАЩИЩАТЬСЯ от взлома, а не обратное.
Это про Wind'y
Одноразовый, без соли sha-1 для паролей это как-то за гранью.
1с ужасная программа
Вы просто не умеете ее готовить.
@@Tavalik ну не знаю, она дико неудобная…
SAP видели?🙂