Ребята, подскажите как можно на стороне базы приемника контролировать неизменность правил выгрузки? Что бы можно было определить, что тот файл, который прислали для загрузки был выгружен известным и одобренным нами правилами.

подписывать ЭЦП

(1) Не знаком с этой технологией, поэтому вопрос - что помешает в КД изменить правила обмена и прилепить то же самый ЭЦП?

(1) опишите вкратце как это можно применить для моей задачи?

Может проще передавать какой-нибудь параметр, который и анализировать при загрузке

В загрузчике есть кнопка "Подробнее о файле обмена", там выводятся дата создания правил с точностью до секунды.

(4) А что помешает злодею передавать это же самый параметр через изменённый им правила обмена?


(5) Эти данные хранятся в файле загрузке, и злодей может заменить их исходными данными. С точностью до секунды. ))

а что за злодей такой? может у него отобрать права на 1с, каталог с файлом и т.д.?

(6) А, ну если речь идет о злодеях, то это лучше на форум по криптографии. Насколько я понимаю в ЭЦП, Правила обмена - есть константа. Её обрабатывают какой-то однонаправленной функцией и передают результат получателю. Эта штуковина называется открытый ключ. Получатель обрабатывает правила той же функцией и сравнивает открытый ключь со своим результатом. Вот и всё.

(7) приведу пример - один из вариант злодейства ))

Цепочка Продавец - покупатель. Продавец отправляет покупателю расходную накладную (выгрузка через правила обмена). У продавца "бунт" одного из менеджера по продажам, пофиг по какой причине - менеджер желает кинуть своего работодателя - нанимает\или сам проавит правила выгрузки, добавляет в него код на выполнение, который изменяет в базе покупателя банковский счёт. Платежи у покупателя в результате теоретически и с большой долей вероятности могут уйти не туда куда надо. Менеджер злодей. Уголовщина, но всёж...

(8) Дык получателю ведь не нужны правила выгрузки, как таковы. Получателю нужны результат выгрузки с помощью этих правил.

+(10), но получатель должен быть уверен что выгрузка производилась через одобренные им правила выгрузки. Неужели придумать ничего нельзя? (

(10) Тем не менее, внутри файла обмена (если речь идет об Универсальный обмен в формате XML, а правила созданы КД) - эти правила содержатся.

(12) там содержатся обработчики событий для исполнения в базе приемника. (после загрузки, и тп)

Эх, я бы много отдал, чтобы поглядеть на менеджера, который сам хml файл смогут поправить, мои обычно не могут даже из одного каталога в другой на винте скопировать

там же написано - нанимает.

Правильно ли я понимаю назначение ХМЛ-схемы - с её помощью можно проверить соответствие ожидаемому формату ХМЛ файла? Можно как-то эту схему сгененировать на основе "Правильной" выгрузки?

Ась?

(9) И чё? Если у тебя при загрузки загружаются только накладные какой буя будут грузится еще и выписки от клиента? А уж про произвольный код вообще смешно

Эх мне бы такую загрузку, которую пофиг на все, главное файлик с кодами прислать, а она уже сама и выписки загрузит и прошлый год перепроведёт, предварительно удалив часть накладных. Главное кодить ничего не нужно, захотел завтра счета грузить - пожалуйста выгружай счета и всё готова

если речь идет о разных базах и связках поставщик-покупатель, то что в коде загрузки будет - то и загрузится. Конечно можно написать обработку которая будет только выполнять произвольный код, а сама ничего грузит не будет. Но геморно каждый раз выгружать не документы а код на 1С который будет генерировать документы.

Так что обычно файлик - это просто определенной структуры данные. А ух как их грузить, это на твоей стороне определяется, и переназначить на стороне отправителя будет ой как нелегко.


Или у вас у поставщика полноценная УРИБ копия вашей базы?

(17) Успокойся, XML - это ведь чистейший текст, по большому счету этот самый текст ты никак не защитишь, всегда будет возможность открыть его ноутпадом и поправить, другое дело, что править такие файлы очень мало найдется спецов...

(18) я привёл пример злоупотребления один из миллиона. Не гуд, когда поставщик может прислать программный код без контроля со стороны покупателя.

(21) Еще раз в 99.9 код присланный сторонним поставщиком не будет отработан. Всё зависит от загручика. Обычно чахал он на левы

* левый код. В лучшем случае ругнется при загрузки, в худшем - проигнорирует

Как у вас будет обстаять дела - нужно смотреть обработку по загрузки

Загрузка осуществляется через Универсальный обмен данными. Поясните мне что ему помешать отработать присланный с выгрузкой код?

Ладно, думаю можно на стороне покупателя проверять обработчики после выгрузки на идентичность тому что там должно быть.

на приемнике от правил остается только код загрузки.

воббще никто неи помешает ручками в xml в документе вместо 200р написать 100р

(9) грузи под ограниченными правами