HTTP сервис – друг или враг?
HTTP-сервисы ускоряют и упрощают разработку обмена данными между 1С и другими приложениями. Но нельзя забывать, что HTTP-сервис – это дверь в информационную систему. О том, как обеспечить безопасность HTTP-сервиса и не оставить лазеек злоумышленникам, на митапе «Безопасность в 1С» рассказал заместитель начальника отдела разработки ГКО PRO Дмитрий Сидоренко.
Лучшие комментарии
(9)ещё раз.
Логин и пароль Первоначально создаётся в основной базе.
На планшете хеш создаётся в момент проверки логин и пароля.
На планшете хранятся только настройки для подключения.
Грубо говоря данные на планшете по садику конкретному не хранятся.
Если ввести логин пароль от другого Садика тогда придут данные по обедам с другого Садика.
Логины и пароли Создаются в основной базе где сразу проверяется хеш на совпадение, если он совпадет тогда не даст сохранить логин и пароль.
Поэтому на одном садике может быть несколько планшетов или один планшет на несколько садиков.
Логин и пароль Первоначально создаётся в основной базе.
На планшете хеш создаётся в момент проверки логин и пароля.
На планшете хранятся только настройки для подключения.
Грубо говоря данные на планшете по садику конкретному не хранятся.
Если ввести логин пароль от другого Садика тогда придут данные по обедам с другого Садика.
Логины и пароли Создаются в основной базе где сразу проверяется хеш на совпадение, если он совпадет тогда не даст сохранить логин и пароль.
Поэтому на одном садике может быть несколько планшетов или один планшет на несколько садиков.
Остальные комментарии
В избранное
Подписаться на ответы
Сортировка:
Древо развёрнутое
Свернуть все
план обмена, на узле которого хранится не логин/пароль, а некий сформированный хэш. И с мобильного приложения тоже гоняется не логин/пароль, а некий хэш. Эти хэши сравниваются
Как-нибудь решается коллизия (если хеши двух разных пользователей совпадут)?
(7) на планшете вводятся настройки подключения под служебной учеткой и адрес для обновления приложения.
Хеш на планшете создаётся в момент проверки логин пароля при авторизации.
Пользователь вводит логин пароль и наживает вход.
Формируется хеш и отправляется в проверку.
Если проверка пройдена появляется экран, рабочее место по вводу количества питающихся и бдлюд.
П.С.
У меня есть статья мобильное приложение на 1с, там про это же приложение есть информация и картинки.
Хеш на планшете создаётся в момент проверки логин пароля при авторизации.
Пользователь вводит логин пароль и наживает вход.
Формируется хеш и отправляется в проверку.
Если проверка пройдена появляется экран, рабочее место по вводу количества питающихся и бдлюд.
П.С.
У меня есть статья мобильное приложение на 1с, там про это же приложение есть информация и картинки.
Пользователь вводит логин пароль и наживает вход.
Формируется хеш и отправляется в проверку
Так вот я и спрашивал про этот момент: если на планшете хеш-функция создала такое значение хеша, которое в основной базе уже "привязано" совершенно к другому пользователю, то как разрешается эта ситуация?
Формируется хеш и отправляется в проверку
(9)ещё раз.
Логин и пароль Первоначально создаётся в основной базе.
На планшете хеш создаётся в момент проверки логин и пароля.
На планшете хранятся только настройки для подключения.
Грубо говоря данные на планшете по садику конкретному не хранятся.
Если ввести логин пароль от другого Садика тогда придут данные по обедам с другого Садика.
Логины и пароли Создаются в основной базе где сразу проверяется хеш на совпадение, если он совпадет тогда не даст сохранить логин и пароль.
Поэтому на одном садике может быть несколько планшетов или один планшет на несколько садиков.
Логин и пароль Первоначально создаётся в основной базе.
На планшете хеш создаётся в момент проверки логин и пароля.
На планшете хранятся только настройки для подключения.
Грубо говоря данные на планшете по садику конкретному не хранятся.
Если ввести логин пароль от другого Садика тогда придут данные по обедам с другого Садика.
Логины и пароли Создаются в основной базе где сразу проверяется хеш на совпадение, если он совпадет тогда не даст сохранить логин и пароль.
Поэтому на одном садике может быть несколько планшетов или один планшет на несколько садиков.
ваше описание отличий GET и POST с выводами что является безопасным а что нет, что для получения данных а что для изменения - является иллюзорным и некорректным.
Все что передается без шифрования является перехватываемым и соответственно не безопасным.
Все что передается без шифрования является перехватываемым и соответственно не безопасным.
(11)Вы путаетесь в терминах. Мой посыл о другом, можно почитать например тут:
get безопасные потому, что предназначены для выборки (select), тоесть не предназначены для изменения данных и выборка не должна содержать пароли и прочую конфиденциальной информацию.
Про шифрование это про безопасность впринципе. Про это я тоже рассказывал.
get безопасные потому, что предназначены для выборки (select), тоесть не предназначены для изменения данных и выборка не должна содержать пароли и прочую конфиденциальной информацию.
Про шифрование это про безопасность впринципе. Про это я тоже рассказывал.