"Обфускация" информационной базы

21.03.13

Администрирование - Информационная безопасность

Иногда необходимо получить у Заказчика базу данных для выполнения работ не на его территории (дома, у себя в офисе и т.п), но Заказчик упирается и не хочет давать базу, аргументируя тем, что база содержит конфиденциальные данные и их утечка может повредить бизнесу.

Скачать файлы

Наименование Файл Версия Размер
Обфускация базы 7.7.ert
.ert 34,50Kb
58
.ert 34,50Kb 58 Скачать
Обфускация базы 8.2.epf
.epf 14,43Kb
96
.epf 14,43Kb 96 Скачать

Согласен с позицией Заказчика, вручать кому ни попадя результаты ведения деятельности на протяжении последних двух веков, по меньшей мере, нерезонно.

Однако работать надо и для успешного выполнения необходима база... С данными... Желательно с подробными...

Предлагаемая обработка позволяет решить конфликт интересов сторон: Исполнитель получает базу данных, а Заказчик может не беспокоится, что куда-то на сторону уйдет, например, база контактов контрагентов, кропотливо собранная несколькими поколениями менеджеров :)

Собственно, в том виде, в который приходит база после обработки, ее можно нормально использовать, на мой взгляд, только для отладки обмена данными.

Разбираться в такой базе, почему не закрывается 23 счет, я бы, пожалуй, не стал... :)

Как это работает.

Обрабатываются справочники и регистры сведений (в версии для 7.7 - только справочники). Обфускации подлежат все реквизиты (для регистров сведений - ресурсы), которые имеют строковый тип.

Для получения беспорядочного набора символов используется генератор случайных чисел. В версии для 7.7 для генерации чисел используется объект MSScriptControl.ScriptControl (спасибо Rusel2009 за его публикацию Генерация случайных чисел (random) , натолкнувшую, собственно, на эту идею).

Кроме генератора случайных чисел предусмотрен режим "лояльной" обфускации, результаты работы которого более приятны взору. В этом режиме наименования справочников и реквизитов формируются как "ИмяОбъектаМетаданных"+"ПорядковыйНомер". То есть, справочник "Контрагенты", например, примет вид:

    - Контрагенты 1

    - Контрагенты 2

    - ...

    - Контрагенты N

Численные значения остаются без изменений, поскольку задача их искажения не стояла, но, в принципе, можно и их "порубать на шматки" :)

Хочется обратить внимание, что изменения, вносимые обработкой - необратимые, поэтому желательно заранее запастись резервной копией, да и вообще, не производить никаких тестов на рабочей базе.

Обработки универсальны, будут работать на любой конфигурации. Тестировались на 4-х базах 7.7 и на 6-ти 8.2 (в том числе - одна самописная).

См. также

AUTO VPN (portable)

Информационная безопасность Платные (руб)

Автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020    14395    22    32    

33

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    2599    PROSTO-1C    9    

29

Device flow аутентификация, или туда и обратно

Информационная безопасность Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023    1616    platonov.e    1    

23

Анализатор безопасности базы сервера 1С

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023    5437    14    soulner    7    

29

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022    5965    32    Silenser    12    

23

История одного взлома или проверьте вашу систему на безопасность

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

От клиента клиенту, от одной системы к другой, мы вновь и вновь встречаем одни и те же проблемы и дыры в безопасности. На конференции Infostart Event 2021 Post-Apocalypse Виталий Онянов рассказал о базовых принципах безопасности информационных систем и представил чек-лист, с помощью которого вы сможете проверить свою систему на уязвимость.

26.10.2022    9243    Tavalik    46    

113
Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. gr0ck 21.03.13 11:01 Сейчас в теме
А как насчет десятка другних обработок, которые уже есть на инфостарте? А как насчет типовой обработки 1С?
2. Krasnyj 1282 21.03.13 11:09 Сейчас в теме
Это какая типовая такое делает? А что касается десятка других - не вижу ничего плохого в 11-й. Автор же ее не за деньги предлагает.
4. maxis33 45 21.03.13 11:48 Сейчас в теме
(2) Krasnyj, ИзменениеКонфиденциальнойИнформации.epf на ИТС лежит
5. Krasnyj 1282 21.03.13 11:51 Сейчас в теме
(4) maxis33, а, эта.. подзабыл. Ну, все равно - кому хуже стало от того, что добавилась лишняя? Кому-то удобна та, кому-то эта, почему нет?
6. maxis33 45 21.03.13 12:03 Сейчас в теме
(5) Krasnyj, выбор это всегда хорошо,
У меня как-то эта типовая обработка не завелась, вываливалась с ошибкой на одной базе.. и подобная альтернативы была бы очень кстати.
8. Damian 909 21.03.13 16:42 Сейчас в теме
(4) а для 7.7? Мне по роду деятельности чаще приходится иметь дело с базами 7.7 (переносы данных в 8.2). К тому же типовая обработка наименования обрабатывает только в "лояльном" режиме. Зато остальное - конечно получше :)
3. AlexSunS 21.03.13 11:47 Сейчас в теме
В копилку,...пригодится....(ох скольков этой копилке лежит уже с инфостарта и др.сайтов)
7. kapustinag 21.03.13 13:36 Сейчас в теме
Ну если клиент особо печется за конфиденциальность, а программистов в штате нет, то недоверие все-равно останется - а вдруг у Вас есть обработка, восстанавливающая испорченные названия? Или вдруг обработка, во время обфускации, втихомолку пишет соответствия в какой-то файлик?
Так что - возможно - клиент все-равно базу не даст. Или не даст даже обработку запустить.
9. PiccaHut001 21.03.13 16:46 Сейчас в теме
адекватные клиенты отдают базу, те, кто не отдают, нищеброды-параноики, с ними не имеет смысла дела иметь.
sfol; wowik; +2 Ответить
10. maxis33 45 21.03.13 16:54 Сейчас в теме
(9) PiccaHut001, хоть я сам и беру периодически у клиентов базы, но это всеж не всегда верная практика. Передавать управленческую (не бухгалтерскую) базу, да в которой все ведется, и серые зарплаты, и серые потоки денег, да клиентские базы.. я бы сам такую не отдал.
11. babys 90 21.03.13 19:01 Сейчас в теме
Минусанул.
Объясняю. База у клиента берётся зачем? Разобрать косяки. Если изменили данные в базе, косяки могут пропасть? Могут. Зачем тогда??? А если клиент не доверяет, тогда вопрос к вам, ИМХО.
12. Damian 909 21.03.13 20:07 Сейчас в теме
(11) мне клиентская база нужна, чтобы отладить обмен данными. Искать/устранять косяки лучше на нормальных данных.
А по поводу доверия: многим ли близким Вам людям Вы доверили, например, Ваши пароли от почты/админки сайта/кредитной карточки?
16. rus128 2 03.04.13 15:55 Сейчас в теме
(11) babys, а разве не написать новый отчет, не говоря уже о новом функционале (справочник, документ, регистр)?
18. babys 90 03.12.13 16:07 Сейчас в теме
(16) rus128, ну попробуйте напишите отчёт завязанные на доп реквизиты, или паче того на разбор строки комментария. А я буду скромно так в сторонке стоять :)
13. AltF1 8 22.03.13 12:56 Сейчас в теме
Идея не нова, но все же +
14. MarSeN 984 25.03.13 19:06 Сейчас в теме
Делал похожее для 7.7 при аналогичной позиции заказчика )
15. EarlyBird 6 26.03.13 19:45 Сейчас в теме
Если изменили данные в базе, косяки могут пропасть? Могут.

Что за бред?
Если например есть косяк во взаиморасчётах с контрагентом, разве он исчезнет после изменения строкового наименования контрагента?
17. Artemuch2 14.05.13 09:57 Сейчас в теме
Добрый день! ну вот почему бы не выложить одним архивом сразу две. Коллеги отзовитесь как работает
19. Светлый ум 406 26.01.14 08:16 Сейчас в теме
Плюс за лояльную обфускацию.
20. higs 01.04.14 19:59 Сейчас в теме
Иногда есть плюсы в подобных обработках. Имеет полное право на жизнь. Спасибо!
21. softgarant 62 04.04.14 21:09 Сейчас в теме
Очень полезная вешь, вот мне надо предоставить тестовую программу для демонстрации работы. Специально заполнять, что то генерировать трудоемкий процес но и специфика работы програмы такая что нельзя новому клиенту давать информацию. Пополню и скачаю.
22. xten 47 12.04.14 14:13 Сейчас в теме
Хороший аргумент для повышения зарплаты: жадное начальство - добрая обфускация!
23. kolombo_eburg 78 06.06.14 07:19 Сейчас в теме
Обработка понравилась - простая и полезная. Думаю следует сделать еще для управляемых форм, тогда она будет еще ценнее! Необходимость в этом уже действительно назрела.
24. ceramica 12 29.08.14 16:39 Сейчас в теме
Да хотелось бы для УФ в связи с массовым "добровольным" переходом на них
25. sergb1979 29.08.14 17:17 Сейчас в теме
Какое красивое слово использовали, даже пришлось к словарю прибегать
26. Dvornik 20 14.01.15 09:04 Сейчас в теме
В управляемом приложении заработает?
27. Светлый ум 406 03.02.22 08:05 Сейчас в теме
https://its.1c.ru/db/metod8dev#content:3681:hdoc
Типовая:
"Изменение конфиденциальной информации"
(шифрование данных БД для подрядчиков)
Оставьте свое сообщение