AXForum  
Вернуться   AXForum > Microsoft Dynamics AX > DAX: Администрирование
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 19.04.2007, 18:42   #1  
ice is offline
ice
Участник
Аватар для ice
Лучший по профессии 2014
 
1,740 / 404 (17) +++++++
Регистрация: 23.03.2006
? Безопасный COM Connector?
Стоит вопрос: начинать или нет проект внедрения Enterprise Portal.

Админы в один голос утверждают о небезопасности использования COM объекта, типа любой начинающий хакер может им завладеть, и делать с данными что захочет.

Так ли это на самом деле? есть ли какая-нибудь достоверная информация?
Старый 19.04.2007, 20:20   #2  
raz is offline
raz
NavAx
Аватар для raz
NavAx Club
Лучший по профессии 2014
Лучший по профессии 2009
 
1,494 / 1065 (38) ++++++++
Регистрация: 22.07.2003
Адрес: МО
В интернете есть достаточно иностранных сайтов под аксаптой, еще никто ими не завладел. Хотя проблемы есть, но главное правильно сконфигурировать все.
Ну и смотря для чего вам портал.

Вот несколько порталов:
http://www.grotefeld.com/EP/
http://www.sagaboutique.is/
http://www.sparkjop.no/
http://www.dafolo-online.dk/
http://www.marso.hu/Shop/
http://80.122.34.116/HIKIWebshop/
http://shop.marso.hu/GumiPiac/
За это сообщение автора поблагодарили: kashperuk (3), ice (1).
Старый 19.04.2007, 20:37   #3  
EVGL is offline
EVGL
Banned
Соотечественники
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
 
4,445 / 3001 (0) ++++++++++
Регистрация: 09.07.2002
Адрес: Parndorf, AT
В версии 4.0 "завладеть" COM-коннектором несколько сложнее при правильной настройке прав доступа. Точнее, завладеть-то можно, но операции ввода-вывода делать сложно, как и запустить произвольный код. Кроме того, COM-коннектор "видит" обычно только IIS, и сначала хакеру остается оперировать через адресную строку только функциями самого EP. А тот в исходной поставке не предоставляет интерфейсы для DROP DATABASE.

Старый 19.04.2007, 22:10   #4  
AraraT® is offline
AraraT®
Участник
1C
 
158 / 106 (4) +++++
Регистрация: 13.01.2006
Адрес: Республика Татарстан, г. Казань
Да и не получиться убить БД, потому что она будет использоваться, например АОСом
Старый 20.04.2007, 08:47   #5  
glibs is offline
glibs
Member
Сотрудники компании It Box
Most Valuable Professional
Лучший по профессии 2011
Лучший по профессии 2009
 
4,942 / 911 (40) +++++++
Регистрация: 10.06.2002
Адрес: I am from Kyiv, Ukraine. Now I am in Moscow. For private contacts: glibs@hotmail.com
IMHO COM-коннектор должен находиться с противоположной стороны firewall от хакера. Так что я недопонял вопрос.

Хакер должен иметь возможность общаться только с IIS. Вопрос безопасности IIS лучше обсуждать не на данном форуме.
__________________
С уважением,
glibs®
Старый 20.04.2007, 09:48   #6  
belugin is offline
belugin
Участник
Аватар для belugin
Сотрудники Microsoft Dynamics
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
4,622 / 2925 (107) +++++++++
Регистрация: 16.01.2004
Записей в блоге: 5
я не очень хорошо разбираюсь в веб но как-то раз я зашел на
http://www.perfectprogramming.com.au/
и набрал в url адрес формы настроек.

Мне удалось поменять цветовую тему сайта.

Кое-кто и знакомых разработчиков говорил, что лучше делать на ASP.NET и через COM коннектор связываться с Ax.

Цитата:
о небезопасности использования COM объекта
вероятно, они имели ввиду ActiveX, встраиваемые в страницу - аксапта вроде такого не делает.
Старый 20.04.2007, 10:06   #7  
raz is offline
raz
NavAx
Аватар для raz
NavAx Club
Лучший по профессии 2014
Лучший по профессии 2009
 
1,494 / 1065 (38) ++++++++
Регистрация: 22.07.2003
Адрес: МО
Цитата:
Сообщение от belugin Посмотреть сообщение
я не очень хорошо разбираюсь в веб но как-то раз я зашел на
http://www.perfectprogramming.com.au/
и набрал в url адрес формы настроек.

Мне удалось поменять цветовую тему сайта.
Возможно там гостевой вход был настроен на админа, я так на одном финском сайте получил права админа портала.

Последний раз редактировалось raz; 20.04.2007 в 10:35.
Старый 20.04.2007, 10:58   #8  
ice is offline
ice
Участник
Аватар для ice
Лучший по профессии 2014
 
1,740 / 404 (17) +++++++
Регистрация: 23.03.2006
вот как раз админы и говорят, что IIS взломать "как 2 пальца об асфальт"

PS а портал нужен чтоб клиенты могли on-line заказывать товар
Старый 20.04.2007, 11:08   #9  
belugin is offline
belugin
Участник
Аватар для belugin
Сотрудники Microsoft Dynamics
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
4,622 / 2925 (107) +++++++++
Регистрация: 16.01.2004
Записей в блоге: 5
Цитата:
вот как раз админы и говорят, что IIS взломать "как 2 пальца об асфальт"
Приводили кучу ссылок на сайты под EP - они могут продемонстрировать два пальца на них?
Старый 20.04.2007, 11:25   #10  
belugin is offline
belugin
Участник
Аватар для belugin
Сотрудники Microsoft Dynamics
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
4,622 / 2925 (107) +++++++++
Регистрация: 16.01.2004
Записей в блоге: 5
Цитата:
Сообщение от raz Посмотреть сообщение
Возможно там гостевой вход был настроен на админа, я так на одном финском сайте получил права админа портала.
да под админом. Я им писал больше года назад, дырку еще не закрыли
Старый 20.04.2007, 11:40   #11  
ice is offline
ice
Участник
Аватар для ice
Лучший по профессии 2014
 
1,740 / 404 (17) +++++++
Регистрация: 23.03.2006
Цитата:
Сообщение от belugin Посмотреть сообщение
Приводили кучу ссылок на сайты под EP - они могут продемонстрировать два пальца на них?
обезательно предложу
Старый 20.04.2007, 12:39   #12  
AndSoft is offline
AndSoft
Участник
 
135 / 12 (1) ++
Регистрация: 22.05.2003
Адрес: Москва
Цитата:
Сообщение от raz Посмотреть сообщение
В интернете есть достаточно иностранных сайтов под аксаптой, еще никто ими не завладел. Хотя проблемы есть, но главное правильно сконфигурировать все.
Ну и смотря для чего вам портал.

Вот несколько порталов:
http://www.grotefeld.com/EP/
http://www.sagaboutique.is/
http://www.sparkjop.no/
http://www.dafolo-online.dk/
http://www.marso.hu/Shop/
http://80.122.34.116/HIKIWebshop/
http://shop.marso.hu/GumiPiac/
А есть ли еще примеры? Очень интересно.
Старый 20.04.2007, 13:43   #14  
AndSoft is offline
AndSoft
Участник
 
135 / 12 (1) ++
Регистрация: 22.05.2003
Адрес: Москва
Цитата:
Здорово!
Старый 24.04.2007, 10:59   #15  
kashperuk is offline
kashperuk
Участник
Аватар для kashperuk
MCBMSS
Соотечественники
Сотрудники Microsoft Dynamics
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
4,361 / 2084 (78) +++++++++
Регистрация: 30.05.2004
Адрес: Atlanta, GA, USA
Вот на Community сайт показали

http://www.itvertigo.com/default.aspx

AJAX + EP
Для теста - введите что-то в строке поиска - появится лукап похожих значений (реализовано с помощью AJAX)
Старый 24.04.2007, 11:11   #16  
Косых Артём is offline
Косых Артём
Участник
Axapta Retail User
 
123 / 77 (3) ++++
Регистрация: 03.09.2004
Адрес: Москва
Цитата:
Сообщение от kashperuk Посмотреть сообщение
Вот на Community сайт показали

http://www.itvertigo.com/default.aspx

AJAX + EP
Для теста - введите что-то в строке поиска - появится лукап похожих значений (реализовано с помощью AJAX)
в Firefox 1.5 не работает. в Internet Explorer 6.0 работает.
Там только в этой форме AJAX?
Старый 24.04.2007, 11:15   #17  
kashperuk is offline
kashperuk
Участник
Аватар для kashperuk
MCBMSS
Соотечественники
Сотрудники Microsoft Dynamics
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
4,361 / 2084 (78) +++++++++
Регистрация: 30.05.2004
Адрес: Atlanta, GA, USA
Не знаю, я дальше не смотрел. Только титульную пока поглядел.
Надо смотреть Source Code - может и не только на этой.
Теги
com connector, web портал, безопасность, ax4.0

 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
jinx: Microsoft Dynamics AX - Der COM Business Connector wird in zukünftigen Versionen nicht mehr unterstützt Blog bot DAX auf Deutsch 0 03.03.2009 03:08
msdynamicsax: VB script that test the com connector for Dynamics Ax 4.0 Blog bot DAX Blogs 0 25.08.2008 18:05
Inside Dynamics AX 4.0: Working with the .NET Business Connector Blog bot DAX Blogs 0 04.10.2007 05:15
Inside Dynamics AX 4.0: Inside the Business Connector Blog bot DAX Blogs 0 04.10.2007 05:15

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 00:14.