еще раз об Id

@phomtom76 · Регистрация: 21.02.2005

Студворк — интернет-сервис помощи студентам

Ситуация в следующем, единственный существоваший id пользователя погиб вместе с жестким диском.
Все это мне досталось в наследство, есть ли способ сгенеривать новый id?
или пересоздавать юзера однозначно? ...с восстановлением забытых паролей все понятно....
еще вопросик: если всех юзеров прошу сменить пароли, id со старыми паролями перестают действовать, при условии , что включена проверка паролей - правильно я все понимаю?
Навожу порядок в новом хозяйстве )

@sottystyom · 08.08.2007, 10:56

(phantom76 @ 9:08:2007, 07:58 )есть ли способ сгенеривать новый id
[snapback]74819" rel="nofollow" target="_blank[/snapback]?[/quote]
равнозначный потерянному без использования опции восстановления нельзя

(phantom76 @ 9:08:2007, 07:58 )правильно я все понимаю
[snapback]74819" rel="nofollow" target="_blank[/snapback]?[/quote]
все зависит от того привильно ли Вы понимаете где включать проверку паролей

@phomtom76 · 08.08.2007, 11:16

в основном конфигурационном документе на сервере...

@somstomtym o shyrvomymko · 08.08.2007, 15:23

Сообщение от phantom76

еще вопросик: если всех юзеров прошу сменить пароли, id со старыми паролями перестают действовать, при условии , что включена проверка паролей - правильно я все понимаю?

Не правильно.
1.Пароль меняется "У-НУТРЕ" конкретного id-шника (т.е. другие пароли к нему уже не подходят)
2.На сервер с включенной проверкой теперь пускают только владельца этого подновленного id-шника
НО:
id cо старыми паролями продолжают действовать там, где пароль не проверяется:
3.На других серверах/доменах (эта проверка м.б. и выключена)
4.На клиенте (в локале)

Т.е. смена пароля не помешает злоумышленнику (предварительно укравшему ваш id) подделать док-т с вашей подписью, расшифровать вашу базу

Вывод: при компроментации ключей надо менять ЭТИ КЛЮЧИ, а не пароль к ним

@phomtom76 · 08.08.2007, 16:04

а чего не так? пункты 1 и 2 ,я так и понимал...

3.4. - тоже мне были ясны... было сомнение, о том что отваляться ли старые id

про ключи согласен... самый надежный способ.

спасибо!

@somstomtym o shyrvomymko · 08.08.2007, 16:32

Ради НО и написАл уточнение. У тебя было "старые копии не действуют, если на сервере ...". А сервера-то может и не быть (в нужный момент)!

@phomtom76 · 08.08.2007, 17:36

окей, как в таком случае будет работать "защита" на локале?
с чем будут сравниваться ключи id-шки ?
насколько я знаю, в случае даже если БД перетянули на локал, даже если стоит опция Enforce ACL, если конечно база не зашифрована.
все равно можно, при условии, что знаешь точное имя управляющего БД, создать аналогичного пользователи и получить доступ к данным к локальной копии.
во всяком случае в 5-ке это прокатывало.

@sottystyom · 09.08.2007, 10:13

к слову, не помешает:
To prevent users whose access levels are Depositor or No Access from using the operating system to copy the database, encrypt the database with the server ID through the local Encryption option. This ensures that the database, even when copied, is illegible to anyone who doesnt have access to the server I

(phantom76 @ 9:08:2007, 15:23 )как в таком случае будет работать "защита" на локале
[snapback]74915" rel="nofollow" target="_blank[/snapback]?[/quote]
-снимем шифрование
-меняем ключи
-устанавливаем шифрование

@somstomtym o shyrvomymko · 09.08.2007, 19:05

Сообщение от phantom76

окей, как в таком случае будет работать "защита" на локале?
с чем будут сравниваться ключи id-шки ?
насколько я знаю, в случае даже если БД перетянули на локал, даже если стоит опция Enforce ACL, если
все равно можно, при условии, что знаешь точное имя управляющего БД, создать аналогичного пользователи и получить доступ к данным к локальной копии.

Все так. id-шки ни с кем не сравниваются. По определению: при наличии ФИЗИЧЕСКОГО доступа к базе (мимо сервера) защита по ACL бессмысленна и потому отключается (Consyst.ACL - отладочный бантик).

конечно база не зашифрована.

Вот именно! Я о том и талдычу. Зашифрованную базу хрен откроешь, если предварительно не украл id-шник. Но к краденому id подойдет старый пароль

@phomtom76 · 09.08.2007, 19:18

проделайте батенька эксперимент:
- скопируйте любую базу на локал с сервера, удалите себя с ACL,
далее: - управление ACL, - закладка дополительно - установливаем опцию - enforce ....... ACL.

закройте базу, а потом попробуйте получить контроль над ней? в 5-ке да можно было открыть любую базу, а в 7-ке не получиться... попробуйте и расскажите, что получилось.

@puks · 09.08.2007, 19:40

(phantom76 @ 10:08:2007, 11:05 )закройте базу, а потом попробуйте получить контроль над ней? в 5-ке да можно было открыть любую базу, а в 7-ке не получиться... попробуйте и расскажите, что получилось.
[snapback]75055" rel="nofollow" target="_blank[/snapback]?[/quote]

А если ее потом на любой сервер и под Full Admin? ;)

@Kyy_Kyykkymym · 11.08.2007, 18:01

Для: phantom76
к тому же на локале включить менеджеские права на нешифрованной бд (на шифрованной не пробовал), даже если вообще никаких прав на базу не имеешь, раз плюнуть..

@phomtom76 · 12.08.2007, 11:09

вы правы коллеги

@phomtom76 · 13.08.2007, 14:16

хотелось бы еще обсудить вопросы безопасности id-файлов: способы передачи id - пользователю (через адресную книгу, через сетвой ресурс) , безопасные хранилища id,
расположение id на стороне клиента (локал, сетевой ресурс). Как безопаснее хранить id-файлы (сейчас хроню в базе и копии на сетке) и как противодействовать хищению id с клиентского места?

на текущий момент - хранилище бд mail-in + сеть
на клиентах - локал, стоит ли уносить их на сетевой диск?
как лучше хранить администраторские id и cert ?

@puks · 13.08.2007, 18:14

Я не сохраняю в адресной книге (но это зависит от конфигурации). Есть копии на диске, архиве, болванках и тп. Кроме того, если используешь восстановление, то они есть еще и в базе, которая шифрована, как и любая база имеет права доступа. Особенно внимательно к хранению cert.id, ou и серверных. Конфигурации с работой с сеткой мне не нравятся, так как очень чувствительны к сети и не поддерживаются IBM. Но все это дело вкуса. За все время работы никто у меня не жаловался на хищение id.

@sottystyom · 19.08.2007, 13:20

храню id пользователей на сетевом диске,потоиу как вопрос безопастности в организации так остро не стоит, а вот восстанавливать, менять пароли, обеспечивать доступ нескольких пользователей под одним id без использвания механизма rouming users очень удобно ;)

Новые блоги и статьи Все статьи Все блоги /
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .
Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .

@phomtom76 0 / 0 / 0 Регистрация: 21.02.2005 Сообщений: 358

	еще раз об Id 08.08.2007, 10:11. Показов 24089. Ответов 15 Метки нет (Все метки) Ситуация в следующем, единственный существоваший id пользователя погиб вместе с жестким диском. Все это мне досталось в наследство, есть ли способ сгенеривать новый id? или пересоздавать юзера однозначно? ...с восстановлением забытых паролей все понятно.... еще вопросик: если всех юзеров прошу сменить пароли, id со старыми паролями перестают действовать, при условии , что включена проверка паролей - правильно я все понимаю? Навожу порядок в новом хозяйстве ) 0

@sottystyom 0 / 0 / 0 Регистрация: 16.07.2006 Сообщений: 468
	08.08.2007, 10:56
	<!--QuoteBegin-phantom76+9:08:2007, 07:58 --> <span class="vbquote">(phantom76 @ 9:08:2007, 07:58 )</span><!--QuoteEBegin-->есть ли способ сгенеривать новый id [snapback]74819" rel="nofollow" target="_blank[/snapback]?[/quote] равнозначный потерянному без использования опции восстановления нельзя <!--QuoteBegin-phantom76+9:08:2007, 07:58 --> <span class="vbquote">(phantom76 @ 9:08:2007, 07:58 )</span><!--QuoteEBegin-->правильно я все понимаю [snapback]74819" rel="nofollow" target="_blank[/snapback]?[/quote] все зависит от того привильно ли Вы понимаете где включать проверку паролей 0

@phomtom76 0 / 0 / 0 Регистрация: 21.02.2005 Сообщений: 358
	08.08.2007, 11:16
	в основном конфигурационном документе на сервере... 0

@phomtom76 0 / 0 / 0 Регистрация: 21.02.2005 Сообщений: 358
	08.08.2007, 16:04
	а чего не так? пункты 1 и 2 ,я так и понимал... 3.4. - тоже мне были ясны... было сомнение, о том что отваляться ли старые id про ключи согласен... самый надежный способ. спасибо! 0

@somstomtym o shyrvomymko 0 / 0 / 0 Регистрация: 26.05.2006 Сообщений: 1,313
	08.08.2007, 16:32
	Ради НО и написАл уточнение. У тебя было "старые копии не действуют, если на сервере ...". А сервера-то может и не быть (в нужный момент)! 0

@phomtom76 0 / 0 / 0 Регистрация: 21.02.2005 Сообщений: 358
	08.08.2007, 17:36
	окей, как в таком случае будет работать "защита" на локале? с чем будут сравниваться ключи id-шки ? насколько я знаю, в случае даже если БД перетянули на локал, даже если стоит опция Enforce ACL, если конечно база не зашифрована. все равно можно, при условии, что знаешь точное имя управляющего БД, создать аналогичного пользователи и получить доступ к данным к локальной копии. во всяком случае в 5-ке это прокатывало. 0

@sottystyom 0 / 0 / 0 Регистрация: 16.07.2006 Сообщений: 468
	09.08.2007, 10:13
	к слову, не помешает: To prevent users whose access levels are Depositor or No Access from using the operating system to copy the database, encrypt the database with the server ID through the local Encryption option. This ensures that the database, even when copied, is illegible to anyone who doesnt have access to the server I <!--QuoteBegin-phantom76+9:08:2007, 15:23 --> <span class="vbquote">(phantom76 @ 9:08:2007, 15:23 )</span><!--QuoteEBegin-->как в таком случае будет работать "защита" на локале [snapback]74915" rel="nofollow" target="_blank[/snapback]?[/quote] -снимем шифрование -меняем ключи -устанавливаем шифрование 0

@phomtom76 0 / 0 / 0 Регистрация: 21.02.2005 Сообщений: 358
	09.08.2007, 19:18
	проделайте батенька эксперимент: - скопируйте любую базу на локал с сервера, удалите себя с ACL, далее: - управление ACL, - закладка дополительно - установливаем опцию - enforce ....... ACL. закройте базу, а потом попробуйте получить контроль над ней? в 5-ке да можно было открыть любую базу, а в 7-ке не получиться... попробуйте и расскажите, что получилось. 0

@puks 1 / 1 / 0 Регистрация: 03.02.2007 Сообщений: 1,913
	09.08.2007, 19:40
	<!--QuoteBegin-phantom76+10:08:2007, 11:05 --> <span class="vbquote">(phantom76 @ 10:08:2007, 11:05 )</span><!--QuoteEBegin-->закройте базу, а потом попробуйте получить контроль над ней? в 5-ке да можно было открыть любую базу, а в 7-ке не получиться... попробуйте и расскажите, что получилось. [snapback]75055" rel="nofollow" target="_blank[/snapback]?[/quote] А если ее потом на любой сервер и под Full Admin? ;) 0

@Kyy_Kyykkymym 1 / 1 / 0 Регистрация: 01.10.2006 Сообщений: 615
	11.08.2007, 18:01
	Для: phantom76 к тому же на локале включить менеджеские права на нешифрованной бд (на шифрованной не пробовал), даже если вообще никаких прав на базу не имеешь, раз плюнуть.. 0

@phomtom76 0 / 0 / 0 Регистрация: 21.02.2005 Сообщений: 358
	12.08.2007, 11:09
	вы правы коллеги 0

@phomtom76 0 / 0 / 0 Регистрация: 21.02.2005 Сообщений: 358
	13.08.2007, 14:16
	хотелось бы еще обсудить вопросы безопасности id-файлов: способы передачи id - пользователю (через адресную книгу, через сетвой ресурс) , безопасные хранилища id, расположение id на стороне клиента (локал, сетевой ресурс). Как безопаснее хранить id-файлы (сейчас хроню в базе и копии на сетке) и как противодействовать хищению id с клиентского места? на текущий момент - хранилище бд mail-in + сеть на клиентах - локал, стоит ли уносить их на сетевой диск? как лучше хранить администраторские id и cert ? 0

@puks 1 / 1 / 0 Регистрация: 03.02.2007 Сообщений: 1,913
	13.08.2007, 18:14
	Я не сохраняю в адресной книге (но это зависит от конфигурации). Есть копии на диске, архиве, болванках и тп. Кроме того, если используешь восстановление, то они есть еще и в базе, которая шифрована, как и любая база имеет права доступа. Особенно внимательно к хранению cert.id, ou и серверных. Конфигурации с работой с сеткой мне не нравятся, так как очень чувствительны к сети и не поддерживаются IBM. Но все это дело вкуса. За все время работы никто у меня не жаловался на хищение id. 0

@sottystyom 0 / 0 / 0 Регистрация: 16.07.2006 Сообщений: 468
	19.08.2007, 13:20
	храню id пользователей на сетевом диске,потоиу как вопрос безопастности в организации так остро не стоит, а вот восстанавливать, менять пароли, обеспечивать доступ нескольких пользователей под одним id без использвания механизма rouming users очень удобно ;) 0