Программы "Простой софт" www.prostoysoft.ru

ВНИМАНИЕ! РЕКЛАМНЫЕ СООБЩЕНИЯ И ГИПЕРССЫЛКИ В ФОРУМЕ ЗАПРЕЩЕНЫ (посты удаляются автоматически)
Текущее время: 25.11.2024 03:23

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: Безопасность и права доступа
СообщениеДобавлено: 03.01.2016 22:31 
Не в сети

Зарегистрирован: 28.12.2015 23:26
Сообщения: 29
Есть ли в планах сделать реальное разграничение прав, а не виртуальное, что есть сейчас?
На данный момент я никак не могу обезопасить базу при предоставлении доступа к ней не привилегированных пользователей.
Пользователь с ограниченными правами может спокойно, в адресной строке, запустить aspx файл и произвести несанкционированные действия.
Пример:
Любой авторизованный пользователь может выполнить следующее:
НТТР : // 192,168,1,10 / SimpleSite / Details.aspx?DbTable=tblUsers&ID=1
и открыть параметры администратора (ну если это не администратор, перебором ID его все равно можно найти), в том числе посмотреть пароль.

Не понял чем фактически отличается Роль Пользователь от Администратора, кроме разницы в названии роли????

Я недавно приобрел программу и Вы не предупреждали, что заявленный функционал не работает или это Бета версия.
Дуршлаг какой-то.

Если в системе есть модули, которые можно запустить отдельно, то каждый модуль должен:
1. Определить аутентифицирован ли пользователь?
2. Определить права пользователя.
Если первое ДА, то определить второе не составит труда.

Можно конечно с костылями поиграться, вроде фильтров "Права доступа" (кстати интересный функционал), но логика работы не ясна, иногда работает иногда нет.
Решил проверить как эти фильтры работают в Программе "Учет клиентов", там все фильтры работают корректно, но мне сайт нужен...
В общем купил у Вас чемодан без ручки...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Безопасность и права доступа
СообщениеДобавлено: 15.04.2016 10:36 
Не в сети
Администратор

Зарегистрирован: 15.02.2006 20:16
Сообщения: 3690
Откуда: Санкт-Петербург
Добрый день. А почему бы Вам не обратиться к нам со всем этим в поддержку? Мы никогда не гарантировали, что отрабатываем сообщения на форуме. А поддержка - совсем другое дело. Но вроде бы... решалась уже проблема ввода в строку адреса напрямую. Теперь не должно такого быть.

_________________
2B OR NOT 2B = TRUE


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Безопасность и права доступа
СообщениеДобавлено: 15.04.2016 17:40 
Не в сети

Зарегистрирован: 28.12.2015 23:26
Сообщения: 29
По поводу техподдержки, действительно не сообразил....
Видимо сильно был разочарован :)

В связи с выходом Версии 1.113 от 23.02.2016, стоит повторить обращение?
Пока не установил, на днях протестирую.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Безопасность и права доступа
СообщениеДобавлено: 15.04.2016 18:16 
Не в сети
Администратор

Зарегистрирован: 15.02.2006 20:16
Сообщения: 3690
Откуда: Санкт-Петербург
Да. И в соответствии с нашим Регламентом оказания поддержки, Вы обязаны проверить наличие проблемы на последней версии прежде, чем обращаться.
Потому что не имеет смысла рапортовать нам о проблемах, которые давно исправлены.

_________________
2B OR NOT 2B = TRUE


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Безопасность и права доступа
СообщениеДобавлено: 25.05.2017 17:06 
Не в сети

Зарегистрирован: 28.12.2015 23:26
Сообщения: 29
Добрый день!
Когда будет устранена уязвимость сайта?
Пользователь не имеющий никаких прав может набрать в строке браузера: /Details.aspx?DbTable=tblUsers&ID=1 и увидеть или отредактировать пароль администратора, да и любого пользователя.
Обращению присвоен уникальный код ID=3739
Version: 1.122


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB