HTTP сервис – друг или враг?

0. 1987 11.05.22 10:46 Сейчас в теме
HTTP-сервисы ускоряют и упрощают разработку обмена данными между 1С и другими приложениями. Но нельзя забывать, что HTTP-сервис – это дверь в информационную систему. О том, как обеспечить безопасность HTTP-сервиса и не оставить лазеек злоумышленникам, на митапе «Безопасность в 1С» рассказал заместитель начальника отдела разработки ГКО PRO Дмитрий Сидоренко.

Перейти к публикации

Лучшие комментарии
10. dsdred 1987 14.05.22 10:01 Сейчас в теме
(9)ещё раз.
Логин и пароль Первоначально создаётся в основной базе.
На планшете хеш создаётся в момент проверки логин и пароля.
На планшете хранятся только настройки для подключения.
Грубо говоря данные на планшете по садику конкретному не хранятся.
Если ввести логин пароль от другого Садика тогда придут данные по обедам с другого Садика.

Логины и пароли Создаются в основной базе где сразу проверяется хеш на совпадение, если он совпадет тогда не даст сохранить логин и пароль.

Поэтому на одном садике может быть несколько планшетов или один планшет на несколько садиков.
Cyberhawk; +1 Ответить
Остальные комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. dsdred 1987 11.05.22 11:55 Сейчас в теме
Вы говорите про то, как хранятся пароли внутри 1С, а снаружи? Если нужно обмениваться паролем между командой разработки и инфраструктурщиками?

Upd. Очень понравилась программа KeePass
shtinalex; +1 Ответить
2. oleganatolievich 134 12.05.22 23:09 Сейчас в теме
hashicorp vault есть же для паролей
3. Cyberhawk 130 14.05.22 09:22 Сейчас в теме
план обмена, на узле которого хранится не логин/пароль, а некий сформированный хэш. И с мобильного приложения тоже гоняется не логин/пароль, а некий хэш. Эти хэши сравниваются
Как-нибудь решается коллизия (если хеши двух разных пользователей совпадут)?
4. dsdred 1987 14.05.22 09:25 Сейчас в теме
(3) В моменте создания узла под пользователя этот момент проверяется.
5. Cyberhawk 130 14.05.22 09:27 Сейчас в теме
(4)
моменте создания узла под пользователя этот момент проверяется
А узел создается по инициативе мобильного приложения?
6. dsdred 1987 14.05.22 09:29 Сейчас в теме
(5)нет. Тут ситуация такая:
Контора выигрывает тендер на обеспечение питания Садика.
Под садик создаётся узел и в садик уезжает настроенный планшет.
7. Cyberhawk 130 14.05.22 09:32 Сейчас в теме
(6) Т.е. на планшете хеш не создается, а вводится готовый (при первичной настройке)?
8. dsdred 1987 14.05.22 09:38 Сейчас в теме
(7) на планшете вводятся настройки подключения под служебной учеткой и адрес для обновления приложения.
Хеш на планшете создаётся в момент проверки логин пароля при авторизации.

Пользователь вводит логин пароль и наживает вход.
Формируется хеш и отправляется в проверку.
Если проверка пройдена появляется экран, рабочее место по вводу количества питающихся и бдлюд.

П.С.
У меня есть статья мобильное приложение на 1с, там про это же приложение есть информация и картинки.
9. Cyberhawk 130 14.05.22 09:48 Сейчас в теме
Пользователь вводит логин пароль и наживает вход.
Формируется хеш и отправляется в проверку
Так вот я и спрашивал про этот момент: если на планшете хеш-функция создала такое значение хеша, которое в основной базе уже "привязано" совершенно к другому пользователю, то как разрешается эта ситуация?
10. dsdred 1987 14.05.22 10:01 Сейчас в теме
(9)ещё раз.
Логин и пароль Первоначально создаётся в основной базе.
На планшете хеш создаётся в момент проверки логин и пароля.
На планшете хранятся только настройки для подключения.
Грубо говоря данные на планшете по садику конкретному не хранятся.
Если ввести логин пароль от другого Садика тогда придут данные по обедам с другого Садика.

Логины и пароли Создаются в основной базе где сразу проверяется хеш на совпадение, если он совпадет тогда не даст сохранить логин и пароль.

Поэтому на одном садике может быть несколько планшетов или один планшет на несколько садиков.
Cyberhawk; +1 Ответить
11. darkinitr0 26 19.05.22 17:59 Сейчас в теме
ваше описание отличий GET и POST с выводами что является безопасным а что нет, что для получения данных а что для изменения - является иллюзорным и некорректным.
Все что передается без шифрования является перехватываемым и соответственно не безопасным.
12. dsdred 1987 19.05.22 18:14 Сейчас в теме
(11)Вы путаетесь в терминах. Мой посыл о другом, можно почитать например тут: https://www.google.com/amp/s/htmlacademy.ru/blog/best/get-vs-post%3famp=1

get безопасные потому, что предназначены для выборки (select), тоесть не предназначены для изменения данных и выборка не должна содержать пароли и прочую конфиденциальной информацию.

Про шифрование это про безопасность впринципе. Про это я тоже рассказывал.
Оставьте свое сообщение
Вакансии
Администратор 1С
Владивосток
зарплата от 150 000 руб.
По совместительству

Руководитель проектов внедрения 1С:УХ
Краснодар
зарплата от 150 000 руб.
Полный день

Консультант-аналитик 1С
Москва
зарплата от 120 000 руб. до 190 000 руб.
Полный день

Ведущий аналитик-разработчик 1С
Москва
зарплата от 230 000 руб. до 270 000 руб.
Полный день

Программист 1С + PHP
Москва
зарплата от 150 000 руб. до 180 000 руб.
Полный день