Расшифровка паролей Болид

[Dmitr]

Ага. версия у меня 1.11.
По поводу 1.12: осталось только удивиться в очередной раз разработчикам болидовского ПО, как сказал известный персонаж "Ну вы блин даете"...

[CaHeK]

А так же любознательности пользователей ) которым не лень пошариться по папкам )

[lis]

Подобное, к сожалению, встречается не только у Болида. Мне интересно зачем они вообще включили ЭТО в дистрибутив?
Так-то, конечно, удобная штука, но зачем? Не понимаю.

[pet-and]

По поводу 1.12: осталось только удивиться в очередной раз разработчикам болидовского ПО, как сказал известный персонаж "Ну вы блин даете"...

Ограничение доступа к серверу - это не задача АРМа, а обслуживающей организации. Ко всему прочему, если в базе данных содержится исчерпывающая информация о держателях карт доступа, то при утере пароля Вас попросят выслать БД, а к этому хозяева данной инфы относятся как-то не очень; а теперь все карты в наших руках.

[Hronic]

Однако, т.е. любой пользователь сети который знает имя сервера вначале сможет узнать пароли с помощью PasswLstEditor.exe(защиты никакой), а после запустить АБД и править все что угодно.
Ужас.

[MadHacker]

Однако, т.е. любой пользователь сети который знает имя сервера вначале сможет узнать пароли с помощью PasswLstEditor.exe(защиты никакой), а после запустить АБД и править все что угодно.
Ужас.

А нефиг на SQL сервере дефолтный пароль оставлять.

[Sia-Ori]

Однако, т.е. любой пользователь сети который знает имя сервера вначале сможет узнать пароли с помощью PasswLstEditor.exe(защиты никакой), а после запустить АБД и править все что угодно.
Ужас.

А нефиг на SQL сервере дефолтный пароль оставлять.

Ой, да ладно, тоже мне секрет, пароль к SQL серверу. Он же прямо вписывается в свойства подключения.
Ещё ни одной системы не видел с нормальной криптографией.

[MadHacker]

Ну вписывается он на сервере с CSO, доступ к которому должен быть уже не у всех подряд.
Просто утверждение "никакой защиты" слегка некорректно. Слабая защита - это да. Орион и Орион ПРО предназначены для работы в безопасной сети.
Следующее поколение разрабатывается уже под небезопасные сети.

[Sia-Ori]

Сервер и ядра опроса стартуют как сервисы, под отдельной учётной записью, простые пользователи системы с сервером никак не общаются, доступа к файлу с паролем у них нет.
Простые пользователи работают без админских полномочий.
Сетевой трафик с рабочими местами шифрованный через SSL, и с С2000-Ethernet тоже.
Да, круто... :)
.
Насчёт сервера с CSO - в свете отказа от простого Ориона однокомпьютерные конфигурации пойдут в полный рост.

[MadHacker]

Примерно так :) Но не скоро.

Пока ожидаются более простые, но, надеюсь, не менее приятные плюшки. Думаю к Новому году уже увидите улучшения ;)

[Sia-Ori]

Насчёт запуска как сервиса - это, как раз, не сложно.

[MadHacker]

Угу, но абсолютно ничего не даст :)
Нужно ещё кучу всего сделать.

[Hronic]

Однако, т.е. любой пользователь сети который знает имя сервера вначале сможет узнать пароли с помощью PasswLstEditor.exe(защиты никакой), а после запустить АБД и править все что угодно.
Ужас.

А нефиг на SQL сервере дефолтный пароль оставлять.

Так в этом то и соль, что его даже знать не надо. В PasswLstEditor.exe ничего кроме сервера указывать не надо он просто соединяется и открывает. Пришлось настраивать файрвол для запрета всех кроме определенных компьютеров.

P.S. А что значит дефолтный пароль? (пустой пароль sa?)

[MadHacker]

В PasswLstEditor.exe указывается адрес сервера с ЦСО а так же пользователь и пароль от SQL.
Дефолтный - это 123456 который ставит скрипт установки. Его надо менять сначала в SQL, затем указывать новый в ЦСО.

[Hronic]

В PasswLstEditor.exe указывается адрес сервера с ЦСО а так же пользователь и пароль от SQL.
Дефолтный - это 123456 который ставит скрипт установки. Его надо менять сначала в SQL, затем указывать новый в ЦСО.

На счет дефолтного понял что вы имеете ввиду, хотя MS SQL у нас ставили отдельно, поэтому пароль совершенно другой поставили сразу.
А вот насчет PasswLstEditor.exe, еще раз повторю, достаточно указать имя сервера, имя и пароль можно оставить вообще пустые, что само собой MS SQL бы никогда не пропустил. Или это имя и пароль чего то другого? (если бы база была Paradox то вообще имя и пароля бы и не было даже)

[MadHacker]

В каком дистрибутиве у вас наблюдается такое поведение? Какая версия Орион ПРО и какая сборка ЦСО?

[Hronic]

В каком дистрибутиве у вас наблюдается такое поведение? Какая версия Орион ПРО и какая сборка ЦСО?

Орион про 1.12 (Build 3155)
Оболочка 1.12 (Build 1103)
ЦСО 1.12.0.69

[MadHacker]

Ну вот. Пока мы тут сидим утилиту обсуждаем, народ вон вообще базы хекс редактором вскрывает :)
http://habrahabr.ru/post/239727/

[lis]

В песочнице сидит... Решил таким образом регистрацию заполучить. Работу, конечно, серьезную проделал, много нового для себя узнал.

[lamyk]

главное что результат у него есть))