Меню


Курсы СтимулСправочникПолезные материалы1С:Предприятие 8.2РазработчикамКлиент-серверное взаимодейс…

1С:Предприятие 8.2 /
Разработчикам /
Клиент-серверное взаимодействие и вопросы безопасности

Оглавление

Безопасность прикладного программного интерфейса сервера

При работе в режиме управляемого приложения, клиентское приложение (тонкий или веб-клиент) обращается к серверу 1С:Предприятия посредством открытого HTTP-протокола. Таким образом, сервер 1С:Предприятия может быть вызван извне сторонними программами тем же способом, как это штатно делает клиентское приложение, и злоумышленник может получить несанкционированный доступ к пользовательским данным или нарушить работоспособность сервера.

1. Несанкционированный вызов серверного кода конфигурации с клиента.

1.1. Потенциальную угрозу безопасности представляют все серверные процедуры и функции, доступные для вызова из клиентского кода. В совокупности они составляют прикладной программный интерфейс сервера 1С:Предприятия. Как правило, такие процедуры и функции размещены в общих модулях с признаками Сервер и Вызов сервера и являются экспортными.

Подробнее см. Ограничение на установку признака Вызов сервера у общих модулей

1.2. Клиентское приложение ( тонкий клиент или веб-браузер) не гарантирует безопасность данных, переданных на сторону клиента. Эти данные легко могут быть перехвачены вредоносным программным обеспечением, установленным на клиентском компьютере. Например, серверная функция, реализующая некоторый алгоритм расчета , должна передавать на сторону клиента окончательный результат этого расчета, но не исходные (или промежуточные) данные для расчета, которые сами по себе могут быть недоступны текущему пользователю.

1.3. Особого внимания требуют серверные процедуры и функции, использующие установку привилегированного режима, или размещенные в общих модулях с признаком Привилегированный.

2. Проникновение и выполнение небезопасного кода на сервере.

Опасность представляют любые возможности конфигурации по выполнению «внешнего» кода или текстов запросов на сервере, которые не являются частью самого прикладного решения (конфигурации), включая внешние отчеты и обработки, COM-объекты и внешние компоненты. В частности, код внешних обработок может непосредственно обращаться ко всем общим модулям без признака Вызов сервера, а также к модулям объектов и менеджеров объектов конфигурации. Аналогичную опасность, как и выше в п.1, здесь представляют серверные процедуры и функции, использующие установку привилегированного режима, или размещенные в общих модулях с признаком Привилегированный.

Также такие возможности создают прямую угрозу работоспособности сервера из-за некорректного или преднамеренно вредоносного кода: зависание или остановка рабочего процесса из-за зацикливания, утечек памяти, ресурсоемких операций и запросов и т.п.

Подробнее см. Ограничение на выполнение «внешнего» кода на сервере


Подписка на новости RSS     Добавьте в закладки Google fusion     Мы в Google+    

 

Мы ВКонтакте

 

Мы на Facebook