Безопасный COM Connector? - DAX: Администрирование

ice · 19.04.2007, 18:42

Стоит вопрос: начинать или нет проект внедрения Enterprise Portal.

Админы в один голос утверждают о небезопасности использования COM объекта, типа любой начинающий хакер может им завладеть, и делать с данными что захочет.

Так ли это на самом деле? есть ли какая-нибудь достоверная информация?

raz · 19.04.2007, 20:20

В интернете есть достаточно иностранных сайтов под аксаптой, еще никто ими не завладел. Хотя проблемы есть, но главное правильно сконфигурировать все.
Ну и смотря для чего вам портал.

Вот несколько порталов:
http://www.grotefeld.com/EP/
http://www.sagaboutique.is/
http://www.sparkjop.no/
http://www.dafolo-online.dk/
http://www.marso.hu/Shop/
http://80.122.34.116/HIKIWebshop/
http://shop.marso.hu/GumiPiac/

EVGL · 19.04.2007, 20:37

В версии 4.0 "завладеть" COM-коннектором несколько сложнее при правильной настройке прав доступа. Точнее, завладеть-то можно, но операции ввода-вывода делать сложно, как и запустить произвольный код. Кроме того, COM-коннектор "видит" обычно только IIS, и сначала хакеру остается оперировать через адресную строку только функциями самого EP. А тот в исходной поставке не предоставляет интерфейсы для DROP DATABASE.

AraraT® · 19.04.2007, 22:10

Да и не получиться убить БД, потому что она будет использоваться, например АОСом

glibs · 20.04.2007, 08:47

IMHO COM-коннектор должен находиться с противоположной стороны firewall от хакера. Так что я недопонял вопрос.

Хакер должен иметь возможность общаться только с IIS. Вопрос безопасности IIS лучше обсуждать не на данном форуме.

belugin · 20.04.2007, 09:48

я не очень хорошо разбираюсь в веб но как-то раз я зашел на
http://www.perfectprogramming.com.au/
и набрал в url адрес формы настроек.

Мне удалось поменять цветовую тему сайта.

Кое-кто и знакомых разработчиков говорил, что лучше делать на ASP.NET и через COM коннектор связываться с Ax.

Цитата:

о небезопасности использования COM объекта

вероятно, они имели ввиду ActiveX, встраиваемые в страницу - аксапта вроде такого не делает.

raz · 20.04.2007, 10:06

Цитата:

Сообщение от belugin

я не очень хорошо разбираюсь в веб но как-то раз я зашел на
http://www.perfectprogramming.com.au/
и набрал в url адрес формы настроек.

Мне удалось поменять цветовую тему сайта.

Возможно там гостевой вход был настроен на админа, я так на одном финском сайте получил права админа портала.

ice · 20.04.2007, 10:58

вот как раз админы и говорят, что IIS взломать "как 2 пальца об асфальт"

PS а портал нужен чтоб клиенты могли on-line заказывать товар

belugin · 20.04.2007, 11:08

Цитата:

вот как раз админы и говорят, что IIS взломать "как 2 пальца об асфальт"

Приводили кучу ссылок на сайты под EP - они могут продемонстрировать два пальца на них?

belugin · 20.04.2007, 11:25

Цитата:

Сообщение от raz

Возможно там гостевой вход был настроен на админа, я так на одном финском сайте получил права админа портала.

да под админом. Я им писал больше года назад, дырку еще не закрыли

ice · 20.04.2007, 11:40

Цитата:

Сообщение от belugin

Приводили кучу ссылок на сайты под EP - они могут продемонстрировать два пальца на них?

обезательно предложу

AndSoft · 20.04.2007, 12:39

Цитата:

Сообщение от raz

В интернете есть достаточно иностранных сайтов под аксаптой, еще никто ими не завладел. Хотя проблемы есть, но главное правильно сконфигурировать все.
Ну и смотря для чего вам портал.

Вот несколько порталов:
http://www.grotefeld.com/EP/
http://www.sagaboutique.is/
http://www.sparkjop.no/
http://www.dafolo-online.dk/
http://www.marso.hu/Shop/
http://80.122.34.116/HIKIWebshop/
http://shop.marso.hu/GumiPiac/

А есть ли еще примеры? Очень интересно.

belugin · 20.04.2007, 12:46

http://www.google.com/search?num=20&...D%22&btnG=Cari

AndSoft · 20.04.2007, 13:43

Цитата:

Сообщение от belugin

http://www.google.com/search?num=20&...D%22&btnG=Cari

Здорово!

kashperuk · 24.04.2007, 10:59

Вот на Community сайт показали

http://www.itvertigo.com/default.aspx

AJAX + EP
Для теста - введите что-то в строке поиска - появится лукап похожих значений (реализовано с помощью AJAX)

Косых Артём · 24.04.2007, 11:11

Цитата:

Сообщение от kashperuk

Вот на Community сайт показали

http://www.itvertigo.com/default.aspx

AJAX + EP
Для теста - введите что-то в строке поиска - появится лукап похожих значений (реализовано с помощью AJAX)

в Firefox 1.5 не работает. в Internet Explorer 6.0 работает.
Там только в этой форме AJAX?

kashperuk · 24.04.2007, 11:15

Не знаю, я дальше не смотрел. Только титульную пока поглядел.
Надо смотреть Source Code - может и не только на этой.

Похожие темы
Тема	Автор	Раздел	Ответов	Посл. сообщение
jinx: Microsoft Dynamics AX - Der COM Business Connector wird in zukünftigen Versionen nicht mehr unterstützt	Blog bot	DAX auf Deutsch	0	03.03.2009 03:08
msdynamicsax: VB script that test the com connector for Dynamics Ax 4.0	Blog bot	DAX Blogs	0	25.08.2008 18:05
Inside Dynamics AX 4.0: Working with the .NET Business Connector	Blog bot	DAX Blogs	0	04.10.2007 05:15
Inside Dynamics AX 4.0: Inside the Business Connector	Blog bot	DAX Blogs	0	04.10.2007 05:15