Идея
Ревью
загрузка файлов
безопасность
Добавить возможность включить механизм проверки расширений файлов для кастомных сервисов
Лизогубов Артем
2 сентября 2020 08:50

В версии 7.16.2 был добавлен механизм ограничения форматов загружаемых файлов. Логика жестко зашита для сервисов ImageAPIService и FileApiService. Поскольку данная логика может быть полезна для кастомных сервисов, отвечающих за загрузку файлов, предлагаю доработать базовый механизм так, чтобы можно было расширить текущий список сервисов.

1 комментарий
Зверев Александр
3 сентября 2020 18:33

Добрый день, Артем.



На текущий момент в системе не реализовано API для использования функциональности FileSecurity и вся функциональность описана в ядре, доступ к которому не предоставляется сторонним лицам.

Поэтому встроить эту проверку валидности в кастомный сервис загрузки пока не является возможным.



На текущий момент проверка файлов работает только через системные настройки FileSecurityMode и FileExtensionsDenyList, глобально для всего приложения.

 

Уже зафиксировано пожелание иметь возможность использовать механизм валидации файлов для своих кастомных сервисов.

Показать все комментарии
Вопрос
безопасность
Технические вопросы
7.x
Безопасность и данные на компьютере и телефоне
Владимир Соколов
14 мая 2015 08:40

Добрый день!

Расскажите, пожалуйста, что скачивает bpm'online в cache на компьютере и мобильном телефоне. Насколько это угрожает утечке данных при потере компьютера или мобильного телефона?

Нравится

3 комментария
Сергей Кy6риш
14 мая 2015 10:02

Добрый день, Владимир!

Для web приложения на стороне браузера данные не кэшируются, кэширование происходит только на уровне серверных сервисов (Redis).
Что касается мобильной версии, то при оффлайн работе будет доступна загруженная база данных. В таком случае рекомендуем защищать данные на уровне ОС мобильного гаджета.

Владимир Соколов
14 мая 2015 11:30

"Сергей Кy6риш" написал:Что касается мобильной версии, то при оффлайн работе будет доступна загруженная база данных.

А можно включить только online режим работы, чтобы база данных не загружалась на телефон?

Сергей Кy6риш
14 мая 2015 12:16

Для этого есть системная настройка: "Режим работы мобильного приложения".

Показать все комментарии
Вопрос
7.3
безопасность
копирование записей
технические вопросы
Технические вопросы
7.x
bpmonline 7.3.0.745. Запретить возможность копирования содержимого раздела
Гребенщиков Антон
23 июля 2014 11:14

Добрый день, коллеги.
Необходимо запретить возможность копирования содержимого реестра в разделах Лиды, Контрагенты, Контакты, Продажи.
Как это можно реализовать?
Сейчас при выделении всего списка в реестре, пользователь может одним нажатием Ctrl+C скопировать все записи.
Заранее спасибо!

Нравится

1 комментарий
Maxim Gritsenko
24 июля 2014 11:17

Добрый день, Антон.

Можно организовать только защиту от дурака, ведь записи уже загружены пользователю и он их уже видит.
Отключить копирование можно создав замещающий модуль, указать в качестве родительского объекта "Раздел лиды" и добавить следующий код:

define("LeadSectionV2", ["terrasoft", "GeneratedWebFormUtilities"],
	function(Terrasoft, GeneratedWebFormUtilities) {
		return {
			entitySchemaName: "Lead",
			methods: {
				init: function() {
					this.callParent(arguments);
					document.body.oncopy = function() { return false; };
				}
			}
		};
	});
Показать все комментарии
Вопрос
безопасность
доступ
Технические вопросы
Разработка
Как ограничить доступ к данным в SQL Server?
Анна Проненко
17 июля 2012 13:40

Не нашла ответа на форуме:

Клиенту важно, чтобы пользователи не имели возможность выгрузить клиентов из базы.
В клиенте ТС такие возможности позакрывали, а как быть с SQL Serverом? Пользователь может зайти под своим логином/паролем например в Management Studio и вытянуть из таблиц в файл данные. Как запретить?

Нравится

11 комментариев
Олейник Дмитрий
17 июля 2012 16:08

Здравствуйте, Анна.

Если запретить пользователям на уровне БД выполнять SELECT'ы к БД, то и Terrasoft не будет работать. Поэтому тут нужно администрировать на уровне Windows - т.е. запретить устанавливать новый софт (MS SQL Management Studio), если он уже имеется - запретить его запуск всем, кроме администратора (к примеру).

Анна Проненко
17 июля 2012 14:21

Тут вариант - прятать в бинарник логины/пароли и запускать ТС с них. Или как еще?

Евгений Либин
17 июля 2012 14:32

Можно сделать триггер на вход в систему, и проверять на то, какая программа пытается законнектиться, например, если это не sa и программа не TSClient.exe - то не давать войти в систему.

Вот пример из справки MS SQL

Можно использовать триггеры входа для проверки и управления сеансами сервера, например для отслеживания входов в систему, ограничения входов в SQL Server или ограничения числа сеансов для конкретного имени входа. Например, в следующем коде триггер входа запрещает попытки входа на SQL Server, инициированные под именем входа login_test, если уже созданы три пользовательских сеанса под этим именем входа.

USE master;
GO
CREATE LOGIN login_test WITH PASSWORD = '3KHJ6dhx(0xVYsdf' MUST_CHANGE,
    CHECK_EXPIRATION = ON;
GO
GRANT VIEW SERVER STATE TO login_test;
GO
CREATE TRIGGER connection_limit_trigger
ON ALL SERVER WITH EXECUTE AS 'login_test'
FOR LOGON
AS
BEGIN
IF ORIGINAL_LOGIN()= 'login_test' AND
    (SELECT COUNT(*) FROM sys.dm_exec_sessions
            WHERE is_user_process = 1 AND
                original_login_name = 'login_test') > 3
    ROLLBACK;
END;
Анна Проненко
17 июля 2012 15:41

thumbs up

Олейник Дмитрий
17 июля 2012 16:09

Евгений, спасибо за публикацию варианта решения вопроса.
Анна, если возникнут дополнительные вопросы - обращайтесь.

Миxалыч
17 июля 2012 17:21

нужна трехзвенка, все остальное обходится
или использовать терминальный сервер

Евгений Либин
17 июля 2012 19:22

А как обходится вариант с использованием триггера на logon?

Зверев Александр
17 июля 2012 21:23

А что делает триггер, смотрит название файла программы? Кстати, как? Так файл и переименовать можно.
Или обменивается с клиентом какими-то незадокументированными позывными?

Анна Проненко
18 июля 2012 11:06

"Миxалыч" написал:

нужна трехзвенка


?

Олейник Дмитрий
18 июля 2012 12:48

"Анна Проненко" написал:
Миxалыч пишет:

нужна трехзвенка

?


Здравствуйте, Анна. Скорее всего имеется ввиду "Трёхуровневая архитектура":
Ссылка

s.mulyava
18 июля 2012 16:50

Здравствуйте.

Следующий набор таблиц поможет решить проблему с точной идентификацией на триггере (for logon):

sys.dm_exec_sessions
sys.dm_exec_connections
sys.sysprocesses

Показать все комментарии
Вопрос
WS
безопасность
веб-сервис
Установка и Администрирование
Разработка
Безопасность веб-сервисов Terrasoft
Байбородин Николай
3 апреля 2011 07:48

Добрый день, коллеги!

Хотелось бы узнать, насколько безопасно развертывание веб-сервиса Terrasoft наружу в интернет? Есть ли где в свободном доступе описание используемых механизмов защиты, проводился ли анализ защищенности, отнесение к тому или иному классу безопасности?

Спасибо

Нравится

4 комментария
Симоненко Влад
4 апреля 2011 11:33

Добрый день!
Оценка безопасности web-сервисов зависит исключительно от уровня безопасности, предоставляемого выбранным web-сервером (IIS, Apache), так как именно им обеспечивается шифрование передаваемых пакетов и т.д. В случае, если Вы хотите использовать шифрование данных - Вам необходимо настроить для web-сервисов SSL соединение по протоколу https.
Более подробно о настройке SSL соединения Вы можете прочитать в руководстве администратора, которое доступно по следующей ссылке:
http://training.terrasoft.ru/sites/default/files/document/TS_AG_3.3.2.pdf

Карло Сергей
4 апреля 2011 19:36

Я бы также хотел добавить, что рассматривать возможность использования Web сервисов нужно только в том случае, если не доступны другие способы. Например, VPN использовать предпочтительнее.

sorokinmp
23 мая 2011 21:37

"Карло Сергей" написал:Например, VPN использовать предпочтительнее.

а как можно ВПН использовать, настроить?

Симоненко Влад
24 мая 2011 10:37

Да, VPN необходимо предварительно настроить. При этом данная задача является исключительно задачей системного администрирования и осуществляется возможностями операционной системы, либо сторонних утилит. Для использования VPN-туннеля Вам необходимо настроить VPN-сервер, а также подключения на клиентских ПК.

В частности, при настройке VPN-сервера на Windows XP и Windows 7 Вы можете опираться на прикрепленные документы. Данные руководства являются наиболее упрощенными примерами настройки.

Показать все комментарии
Публикация
Terrasoft
безопасность
Про персональные данные и Terrasoft CRM
Александр Кудряшов
28 декабря 2009 11:05

На ресурсе ispdn.ru для меня, как человека бесконечно далекого (что уж там) от перипетий законотворчества, нашлась весьма интересная тема, актуализированная последними поправками к Федеральному Закону РФ "О персональных данных" (http://ispdn.ru/law/748/#text) принятыми 25 декабря сего года.

Можно посмотреть краткий FAQ по теме (ispdn.ru/basis/), чтение которого привело к следующим размышлениям.
Любая CRM система автоматически попадает под понятие "Информационной системы персональных данных", а организация, ее использующая, является "Оператором персональных данных".

Навскидку сделанная оценка возможностей и реальной практики использования Terrasoft CRM показывает, что данная информационная система вполне соответствует, согласно классификации, "Классу 1" или, как минимум, "Классу 2" (ispdn.ru/basis/522/#text), а потому она сама либо ее использование требует согласно ФЗ РФ обязательной сертификации на предмет безопасности и защищенности.

Уважаемые коллеги, хотелось бы услышать Ваши комментарии, размышления по данному вопросу...
Тема для меня несколько непривычная, "нетехническая", но тем не менее интересная. Также, как мне кажется, она предваряет многие будущие вопросы клиентов, находящихся на территории РФ как минимум.

Нравится

Поделиться

12 комментариев
Глова Сергей
28 декабря 2009 12:48

Почитал, очень интересно. Задумка, в принципе, правильная - но итогом будет сруб денег на сертификацию.
Моя телефонная книга - 3 класса. А любая - соц. сеть или сайт с пользовательским наполнением - как минимум 2 класса.
Имхо, достаточно ответственности за потерю таких данных. Как бы ИС не защищали, все равно остается самое слабое звено - человек.

Владимир Соколов
28 декабря 2009 12:57

"Глова Сергей" написал: но итогом будет сруб денег на сертификацию

Причем, обычно требуется сертифицировать и любые изменения.

Александр Кудряшов
28 декабря 2009 13:03

Мне кстати в связи со всем этим как то сразу вспомнился hardkey классической версии 2.8... :wink:
Пополнение госказны за счет сертификации это само собой, неприятно настораживает перспектива административной/уголовной ответственности за использование ИСПДн, не получившей сертификат... у нас же как, если бороться, так показательно, радикально. Вспоминаем нашумевшую историю небезызвестного директора школы с нелицензионным ПО...
И еще - как верно заметил Сергей, социальная сеть вполне может быть классифицирована как ИСПДн, интересно будет пронаблюдать за тенденциями в этом направлении. Хотя, в принципе, если при регистрации в подобной сети мне не дают гарантию сохранности/конфиденциальности, то предоставление туда личных данных и их обнародование - всецело моя проблема, значит внимательно читаем [вечно пролистываемое] соглашение.

Александр Кудряшов
28 декабря 2009 13:06

"Владимир Соколов" написал:Причем, обычно требуется сертифицировать и любые изменения.

Строго говоря, хранимая процедура или триггер, прикрученный программистом в базу даже сертифицированной системы способна нарушить все требования безопасности, и в результате породить проблемы для ее создателя.
Сертификация проектных решений? :confused:

Глова Сергей
28 декабря 2009 13:11

"Александр Кудряшов" написал:Сертификация проектных решений?

Требуются на работу 100500 хакеров для проверки требований безопасности очереди из 100500 программных решений :lol:

Владимир Соколов
28 декабря 2009 13:17

А Excel тоже надо будет сертифицировать?
Или наконец-то запретят в нем хранить информацию о клиентах? :)

Александр Кудряшов
28 декабря 2009 13:49

"Владимир Соколов" написал:А Excel тоже надо будет сертифицировать?

Про Excel процитирую:
"Комплект офисного программного обеспечения, соответствует заданию по безопасности MS.OFFICE2007.ЗБ и имеет оценочный уровень доверия ОУД 1 (усиленный) по РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ispdn.ru/szi)

Попов Александр
28 декабря 2009 19:10

Вопрос, на самом деле не так прост, как кажется.

Сертификации подлежат средства защиты информации, а наша система, как известно таковой не является, т.к. все задачи по правам доступа аутентификации и т.п. мы перекладываем на уровень БД. Таким образом мы можем сертифицироваться только совместно с БД, а точнее сертифицировать связку нашего продукта с сертифицированной БД.

Что такое сертифицированная СУБД - это конкретная сертифицированная версия на сертифицированном носителе, продающаяся отдельно и стоящая на порядок дороже обычного дистрибутива.

Информация из "сертификационного первоисточника":smile: :
- сегодня есть сертифицированная СУБД MS SQL 2000
- слово ORACLE в органах сертификации лучше не произносить, его в России с вероятность 99% никогда не сертифицируют (связано это с необходимостью предоставления исходных кодов, необходимостью доработки и т.п.)

Но, не смотря на все, что я написал выше, совместно с одной из основных организаций, занимающихся сертификацией мы работаем над сертификацией по 2-му классу. Как только будут результаты, мы конечно же сообщим об этом всем партнерам.

P.S. По последней информации, вот-вот будут уточнения к ФЗ 152, в которых должны быть четче выписаны требования по сертификации.

Александр Кудряшов
29 декабря 2009 08:32

"Попов Александр" написал:Но, не смотря на все, что я написал выше, совместно с одной из основных организаций, занимающихся сертификацией мы работаем над сертификацией по 2-му классу. Как только будут результаты, мы конечно же сообщим об этом всем партнерам.

вот главное, что хотелось услышать, спасибо!
"Попов Александр" написал:слово ORACLE

а вот тут вполне себе упоминается (http://www.npo-echelon.ru/products/index.php?ELEMENT_ID=1008):
Область доверия: ФСТЭК (ИСПДн К2) - Встроенные средства защиты информации от несанкционированного доступа системы управления базами данных Oracle Database 10g Release 2 (10.2.0.1.0) Enterprise/Standard Edition на программно-аппаратной платформе ОС Solaris/Sparc
Понятно, что речь идет о Solaris, но лиха беда начало.

Попов Александр
29 декабря 2009 09:59

За что взял, за то продал :smile:. Мне прямым текстом сказали, что сертифицировать связку с ORACLE можно даже не пытаться.

Александр Кудряшов
18 ноября 2010 13:04

Слегка освежим и практически закроем тему ссылкой
Если кратко, цитата "...CRM система не реализует функций защиты информации, его сертификация на соответствие требованиям по безопасности информации не является обязательной"

LabRus
23 марта 2020 22:48

В итоге какой результат? Есть ли спустя 10 лет наличие сертификата ФЗ-152 или нет?

Показать все комментарии
Публикация
безопасность
уровни защиты
Три уровня защиты Террасофт
Присяжнюк Владимир
3 июня 2009 18:47

На данный момент безопасность соединения между клиентским приложением программного продукта Террасофт и его серверной частью можно описать тремя уровнями защиты:

1. Авторизация пользователя на клиентском месте, ограничение сетевого доступа и т.д.
2. Используя авторизацию по протоколу SOAP, клиент может подключиться к серверу приложений;
3. Сервер приложений может быть соединен с сервером СУБД по протоколу TCP/IP, авторизироваться с СУБД можно как с помощью её средств, так и с помощью Windows-авторизации.

Каждое из звеньев можно защитить используя дополнительные ограничения по необходимым хостам и портам.

Если же будет использоваться двухзвенная архитектура, на сервере приложений (он же сервер СУБД) рекомендуется использовать авторизацию средствами СУБД.
С данными типами авторизации более подробно можно ознакомиться на сайтах производителей: Oracle, MS SQL Server, Firebird.
Дополнительно смотрите запись "Аутентификации пользователя в MS SQL Server".

При использовании доступа к конфигурации через WEB возможно использование SSL-соединения с использованием серверного и клиентского сертификата.

Схематически данные уровни защиты можно изобразить так:

Нравится

Поделиться

0 комментариев
Показать все комментарии
Публикация
безопасность
доступ
права доступа
Безопасность и доступ к данным
Попов Александр
21 октября 2008 14:59

Второй часто задаваемый вопрос - вопрос по безопасности.
Давайте разделим его на части:
1. Аутентификация и получение доступа к данным.
2. Безопасность передачи данных.
3. Виды прав в системе.
4. Логгирование.

Аутентификация и получение доступа к данным
Доступ к любой системе начинается с логина.
Тесно интегрируясь с Active Directory (AD), платформа Terrasoft позволяет использовать все ее преимущества. Вы можете импортировать пользователей AD, изменять им пароль и т.п.
Но, использование AD вовсе не обязательно. Платформа интегрирована, также, с системами безопасности всех поддерживаемых СУБД (более того, если позволяет СУБД, Вы можете использовать связку AD-система безопасности СУБД). Для каждого пользователя Terrasoft в СУБД создаётся пользователь и, все права в системе раздаются на уровне СУБД.
Такая схема обеспечивает максимально возможный уровень безопасности доступа к данным.

Безопасность передачи данных
Любая система, реализованная на платформе Terrasoft, позволяет использовать web-сервисы для работы с сервером приложений. Web-сервисы, в свою очередь, поддерживают подключение с использованием SSL протокола - стандарта де-факто для передачи защищённый данных в сети (Вы используете этот протокол, например, расплачиваясь кредитной картой в интернет-магазинах).
При необходимости, можно использовать дополнительные программно-аппаратные средства, например, для дополнительного шифрования трафика.

Виды прав в системе
Субъектом раздачи прав являются пользователи либо группы пользователей. При этом группы могут быть вложенными, а пользователи могут находиться одновременно в нескольких группах.
Платформа Terrasoft 3.X поддерживает следующие виды прав:
1. Доступ к таблице/группам таблиц - чтение/запись/изменение доступа.
2. Доступ к записям - чтение/запись/изменение доступа
3. Доступ к полям - чтение/запись.
Еще раз повторюсь, что эти права раздаются на уровне СУБД. Поэтому получив прямой доступ к СУБД, Ваш сотрудник увидит ту же информацию что и в системе.

Логгирование
Платформа обладает очень мощным инструментарием логгирования. На уровне пользователя, можно настроить какие объекты и поля системы нужно логгировать и платформа сама выполнит все необходимые операции для настройки логгирования на уровне СУБД. Это позволит увидеть кто, когда изменил запись; старое и новое значение каждого логгируемого поля. Реализация логгирования именно на уровне СУБД, позволяет логгировать абсолютно все изменения данных, как из приложений Terrasoft, так и из внешних приложений (например, при интеграции).

Нравится

Поделиться

0 комментариев
Показать все комментарии
Подписаться на безопасность