1С:Предприятие 8.2 /
Разработчикам /
Клиент-серверное взаимодействие и вопросы безопасности
Безопасность прикладного программного интерфейса сервера
При работе в режиме управляемого приложения, клиентское приложение (тонкий или веб-клиент) обращается к серверу 1С:Предприятия посредством открытого HTTP-протокола. Таким образом, сервер 1С:Предприятия может быть вызван извне сторонними программами тем же способом, как это штатно делает клиентское приложение, и злоумышленник может получить несанкционированный доступ к пользовательским данным или нарушить работоспособность сервера.
1. Несанкционированный вызов серверного кода конфигурации с клиента.
1.1. Потенциальную угрозу безопасности представляют все серверные процедуры и функции, доступные для вызова из клиентского кода. В совокупности они составляют прикладной программный интерфейс сервера 1С:Предприятия. Как правило, такие процедуры и функции размещены в общих модулях с признаками Сервер и Вызов сервера и являются экспортными.
Подробнее см. Ограничение на установку признака Вызов сервера у общих модулей
1.2. Клиентское приложение (тонкий клиент или веб-браузер) не гарантирует безопасность данных, переданных на сторону клиента. Эти данные легко могут быть перехвачены вредоносным программным обеспечением, установленным на клиентском компьютере. Например, серверная функция, реализующая некоторый алгоритм расчета , должна передавать на сторону клиента окончательный результат этого расчета, но не исходные (или промежуточные) данные для расчета, которые сами по себе могут быть недоступны текущему пользователю .
1.3. Особого внимания требуют серверные процедуры и функции, использующие установку привилегированного режима, или размещенные в общих модулях с признаком Привилегированный.
2. Проникновение и выполнение небезопасного кода на сервере.
Опасность представляют любые возможности конфигурации по выполнению «внешнего» кода или текстов запросов на сервере, которые не являются частью самого прикладного решения (конфигурации), включая внешние отчеты и обработки, COM-объекты и внешние компоненты. В частности, код внешних обработок может непосредственно обращаться ко всем общим модулям без признака Вызов сервера, а также к модулям объектов и менеджеров объектов конфигурации. Аналогичную опасность, как и выше в п.1, здесь представляют серверные процедуры и функции, использующие установку привилегированного режима, или размещенные в общих модулях с признаком Привилегированный.
Также такие возможности создают прямую угрозу работоспособности сервера из-за некорректного или преднамеренно вредоносного кода: зависание или остановка рабочего процесса из-за зацикливания, утечек памяти, ресурсоемких операций и запросов и т.п.
Подробнее см. Ограничение на выполнение «внешнего» кода на сервере
Курс "Бухгалтерский учет + 1С:Бухгалтерия 8.2 для начинающих"
Курсы программирования 1С:Предприятие 8.2
Другие материалы по теме:
тонкий клиент, внешнего, программный интерфейс, вызов сервера, алгоритм расчета, прикладного, процедуры, сервер, функции, приложения, возможности, клиент, код, результат, конфигурирование, данные, расчет, конфигурации, счет
Материалы из раздела: 1С:Предприятие 8.2 / Разработчикам / Клиент-серверное взаимодействие и вопросы безопасности
Другие материалы по теме:
Безопасность прикладного программного интерфейса сервера
Общесистемные механизмы и принципы
Источники данных для расчетов бюджетирования
Мы на Facebook
