Читаю в документации: "Имеет доступ к файловой системе компьютера"
Думаю. Браузеры же специально делали так, что бы так просто не имели доступ и это начало безопасности. Получается, что не совсем честный программист или удаленный сервис 1С может получить доступ к Вашему компьютеру. И отключить такой доступ нет возможности если Вы используете тонкий клиент. Запуская тонкий клиент вы впускаете троянкого коня?

Помним всю историю о испорченной репутации по безопасности Windows в интернете. А они начали работать по безопасности, когда уже появились шквал проблем. Не наступит ли 1С на теже грабли?

.

..

...

....

(0) >>Не наступит ли 1С на теже грабли?
не наступит.
Все, что задекларировано 1С - еще не значит, что работает именно так.
А там и пользователи забьют на эти игрушки....

Ну я предупредил.
"4-й пленум был траурным.
Я выступил и сказал: "Делегаты! Если у меня когда-нибудь будут дети, я повешу им на стенку портрет прокуратора Иудеи Понтия Пилата, чтобы дети росли чистоплотными. Прокуратор Понтий Пилат стоит и умывает руки - вот какой это будет портрет. Точно так же и я: встаю и умываю руки."
Венедикт Ерофеев. Москва-Петушки.

так в веб клиенте тоже нету доступа к файловой системе, а тонкий клиент это программа которую ты устанавливаешь себе на комп, так что можешь не устанавливать, если боишься.

.....

Для того, чтобы например удалить файлы через вэб-клиент, нужно предварительно подключить расширение работы с файлами. И на веб-клиенте метод работает только с локальными файлами.
© СП
(7) +1

Тонкий клиент в интернете опасен!

(6) как хорошо, что я не читаю Ерофеева.
И, как вижу, не зря.

(7)>>так что можешь не устанавливать, если боишься.
я вот 1с боюсь устанавливать - а ну как взорвется?!

!

(_!_)

а по сабжу - тонкий клиент делает то, что от него требует 1сник, соответственно, если ссыкотно - юзайте ВПН.

Я это понимаю, но уж больно много свободы.
В HtmlПоле выпоняется любая ссылка на любой код javascript.
Хотя он вроде вконтейнере, но напрягает.

- У нас дыра в безопасности!!!!111одинодин
- Ну слава Богу! Хоть что-то у нас в безопасности

Запускаешь 1С, а там при сдаче отчетности а там prompt("для работы в программе пошлите sms на номер... и введите ответный код)".
Может у меня богатое воображение?

а кстати интересно ведь



а есть ли реальные примеры когда через опубликованную на веб базу 1С 8.2 или 8.3 нанесли вред например получив доступ к конфиденциальной информации (взломав базу) или же нанесли вред серверу ?
(тупой брутфорс не считается за взлом)

?

+(19) к чему это я..

открытый наружу астерикс постоянно подвергается атакам ибо это типа интересная халява.. звонки там разные можно делать за чужой счет..

а вот 1с опубликованная - есть ли примеры взлома и есть ли смысл злодеям ее ломать ?

(20) 1С - это неуловимый Джо.

(19) Безопасность сервера это проблемы 1С, а безопасность клиента будут наши проблемы.
Здесь нашел способ для видео в 1С:
<OBJECT id=MediaPlayer classid=CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6>
<PARAM NAME="URL" VALUE="http://v8.1c.ru/cnt.jsp/:korp1306:/http://v8.1c.ru/konf0613/files/11/10_10_sovr_arh_for_corp_83_nuraliev_s.wmv">;
<PARAM NAME="autoStart" VALUE="1">
</OBJECT>

Но думаю с точки зрения безопасности, это очень плохо! Поэтому 1С и не использует и не говорит никому!

20 например та самая система факторинга, ее взлом дает доступ к системе начисления процентлв, идаже к плотежам
Или торговля и там скидки....
По этому безописность в 1с нужна

Безопасность тонкого должна быть многоуровневач, например защита от захвата всех лицензий, и как следствие отказ на вход админа. Защита от чтения и слива. Защита от изменегия данных. Защита от повышени привелегий....
Можно поодолжать, все это требует разных подходов

Защиты нет.
Какие еще будут вопросы? Почему?
А потому. Кто еще что хотел узнать?

(0) вроде в заметках зазеркалья было сообщения, что можно будет настраивать ограничения доступа, в стом числе к файловой системе

Вот

"Стандартно, после создания, профиль безопасности запрещает выполнение всех потенциально опасных действий:

Это такие действия, как:

обращение к файловой системе сервера;
запуск COM-объектов;
использование внешних компонентов 1С:Предприятия;
запуск внешних обработок и отчётов;
запуск приложений, установленных на сервере;
обращение к ресурсам Интернета.
Таким образом защититься от нежелательных действий незнакомого прикладного решения очень просто: нужно создать пустой профиль безопасности и назначить его информационной базе.

Далее, если есть необходимость, можно расширять этот профиль, описывая в нём действия, которые разрешается выполнять прикладному решению.

Например, можно разрешить прикладному решению обращаться к некоторой области файловой системы сервера. Для этого нужно описать это разрешение в разделе Виртуальные каталоги:"
http://v8.1c.ru/o7/201303sp/index.htm

(0) О боже! Клиент-серверное приложение имеет доступ к файловой системе!
белки_истерички.jpg

Не уловил разницы тонкого клиента с каким-либо другим. Чего так вопить-то. 1С еще толком никто не щупал. Как начнут, будет и веселье с ежемесячными патчами, как у MS.

Видал нетленки, которые при запуске шлют HTTP запрос "а нет ли обновлений". И если в ответе приходит некий дополнительный текст, тупо пихают его прямо в Выполнить(). А результат POST-ят обратно. Толстый клиент, обычные формы.

(27)>>1С еще толком никто не щупал
и не будет щупать. Сделала "для галочки" - неофиты в восторге. Больше ничего не надо. Теперь другие игрушки в повестке дня.
>>Как начнут
не мечтайте, не начнут. Забросят, как и все остальное до этого.

(25)>>что можно будет настраивать ограничения доступа, в стом числе к файловой системе
угу, скоро получим в 1С файловый менеджер?

Год назад или чуть раньше, когда 1С только начинала продвигать облачные технологии запросил демо вход на сайте 1С fresh. Без особых проблем разобрался как слить все шаблоны с сайта. Зашел на системный диск сервака. На аналогичных сервисах других контор с демо доступом ситуация была похожая. Может  с тех пор что то изменилось. Не знаю

(28) Будет профит - будут щупать. А профит будет, если удастся раскрутить облачные сервисы.

Мне начинает казаться, что  Odavid это агент сапа, засланный на мисту сеять среди 1сников панику и неуверенность в партийной линии. Кто подскажет телефон особого отдела 1с?

30 1с вроде ищет спецов на безлпаснрсть фреша,
Только ИХ подходы рядовым пользователям не подойдут.
Я общался на эту теиу с ними. У меня сложилось мнение, что для них важно только превышение привелегий ну и выполнение кода на сервере, и как следствие получение доступа к чужим ресурсам, а например на мою ремарку, что можно тупо вселицензии сеовера сожрать, получил ответ, что тут можнл не парится...
Склрее всего у них есть клюс на 10000000000000000 лицензий
Именно по этому 1с и продвигает технологии которые кроме десятка фирм нафиг никому не нужны...

(26) А сама 1С включила профили на своих демках?
http://platform.demo.1c.ru/demo83/
Что-то они не не установили другие 1С
http://saveimg.ru/show-image.php?id=d6362f1521a902422bfe569489e37442

Обработка infostart: http://infostart.ru/public/190185/

В интернетах вообще опасно...
Надо вернуться к векторному фидонету.

(33)>>Именно по этому 1с и продвигает технологии которые кроме десятка фирм нафиг никому не нужны...
Мы с вами два агента??

36
Нет, мы о разном.
Я не вижу прикладного значения в механизме разделения данных..

Я бы все-таки обратил внимание на то, что безопасность сервера 1С еще интересует, то с безопасностью тонкого клиента Windows пользователя оставляют один на один.