Преамбула: "ERPа, как же я тебя "люблю", сволочь ты глюкавая..."

Сегодня при проведении ПКО вывалилась ошибка "Документ Приходный кассовый ордер УУ00-000034 от 25.07.2022 16:38:16 не проведен: В регистрах взаиморасчетов обранужены отрицательные остатки на дату 25.07.2022 0:00:00. Проведение невозможно."
По отчётам всё красивое. Заполнение регистров взаиморасчетов по аналитике сделал, один хер.
Даже код открыл, но там страшно.

Куда бы ещё копнуть?

P.S. Про выделенное капсом в заголовке - я не шучу. Это код из типовой:
https://i.imgur.com/QdXXzE3.png

Мне проще и дешевле нашу продукцию в магазине купить чем выписать даже официально. Кассовый ордер оформь, требование на склад проведи. продукцию разбери, чтобы она с ящика в штуках начала числиться. расходную проведи. расход по складу проведи. задействуй 3 человека. Кассир, сборщик, девочка на выписке.

(223) Нет ничего сложного, если есть доступы к скулю и есть доступы к 1с, чтобы получить соответствие таблиц скуля с таблицами 1с. Даже поменяв программно ТЧ документа, вам еще придется поменять его проводки и связанные документы с их проводками, а это уже не тривиальная задача и опять же нужен будет доступ к скулю.
Я видел и такую реализацию, доступ к скулю у сис. админов, но у них нет доступа к самой 1с. Программисты имеют доступ к 1с, но не имеют прямой доступ к скулю.

(226) +1 Калимулина не переубедить, все аргументы для него голословны, но его вера, в то, что кодер будет ломать скуль ради воровства на складе - это прям фейспалм.

(226) К базе 1С есть прямой доступ. Это факт. Такой же, как то, что прямой доступ есть к любой базе. К базе 1С он немного более "прямее", чем ко многим другим. Из-за того, что 1С хранит пароль к СУБД, чего делать конечно нельзя, но это второстепенная деталь.
Истина в том, что если вы хотите контроль, то вам нужна защита от действий пользователя с полными правами.

(228) + в складской зоне никто посторонний не может находиться. Если кто то посторонний есть должна быть подписанная начальником записка, что нужен Иванов причина: поломался ПК, когда  начало ремонта - конец ремонта документ на перемешение ОС со склада в ремонт и т.п.

(228) Вот видите. Люди-то задумываются о защите от действий пользователя в "режиме бога". Но видимо еще не знают, что пароль от СУБД лежит рядом с СУБД

(231) А все почему? Понимают, что на информационную базу никакой надежды нет

(228) Кстати, зачем писать если есть доступ к скулю и доступ к 1С? Второе здесь лишнее. Оно вытекает из первого

(232) Режим программного бога не работает сам по себе без сговора с другими лицами. Если человеку дали полный доступ к информации, материально техническим ценностям и т.п.
То или  мы ему доверяем и платим нормальную зп. или есть шанс, что он будет нас обворовывать.

На это уже ни как не влияют отрицательные остатки

(235) Или доверяем, но проверяем. Обычно так делают

(236) Они тут уже всем надоели. Понятно, что от них толку ноль. Поэтому перешли к обсуждению методов реального контроля

(234) Хотел бы я посмотреть, как вы получите доступ к скулю, а после найдете там все необходимые таблицы и сделаете нужную инъекцию, которая дала бы вам доступ в 1с. Имхо, прецедентов таких я не слышал и не видел.

С учетом того, что у вас даже доступа не будет к серверу, где скуль развернут)

(239) Вы не слышали и не видели, потому что вам не рассказывали и не показывали. А вам не рассказывали и не показывали, потому что никому не рассказывали и не показывали. Логично ведь?

(241) Я прекрасно понимаю как организуется безопасность на предприятии и подобные заявления, мол получу доступы к скулю и сделаю инъекцию, для меня более чем голословны. Вы даже на сервер не зайдете, где скуль стоит, да и на сервер с кластером вряд ли попадаете. У вас как программиста, будет лишь свое окружения с четким перечнем доступов.

*окружение

Если вам на предприятии дают полные права, доступ ко всем серверам под учеткой админа и пароль от sa юзвера скуля, то это не значит, что у всех так.

(244) Да он са м себе дома установил демо-версии и "Я - Бог!! Я всё могу!"

В общем разные люди имеют разные доступы к своим блокам, чтобы сделать, то что вы пишите, нужно либо быть гением и хакнуть 1с вместе с сеткой предприятия, а потом еще как-то этот товар на складе получить, либо вступить в преступный сговор с теми, кто имеет определенные доступы.

(245) Это Калимулин, ему лишь бы вбросить. Так же было, когда ветка с "зачем нужны регистры, когда можно все по документам собрать" набрала 1000 сообщений, все кому не лень ему навтыкали)

Для особо одаренных. Система контроля отрицательных остатков  - это система оперативного реагирования на нарушение учетной схемы. И более не надо ни каких есть на складе или нет.

(247) Вот с бесполезностью дублирования данных регистров табличными частями документов - я бы согласился. Процентов 80 документов тупо перепихивают данные напрямки в регистр, даже "удобочитаемо отображать пользователю" предлог не работает

(0) Иногда РН не очищаются при распроведении или удалении документов. Т.е., возможна ситуация, когда есть движения у документа, помеченного на удаление. Один раз видел висящие без регистратора движения. Проверяется запросом к РН, с условием, что у регистратора ПометкаУдаления ложь и проведен истина.

Даёшь срач в эту тему! Отменим бесполезную избыточность в БД! Пишем ТЧ сразу в регистр!

(251) а как быть, когда заказ отменили к примеру?) Как узнать что заказали, как восстановить документ?

(252) Есть документ, есть его отмена. Не понял вопроса...

(253) Вот вы набили в документ 100500 строк которые записались в регистр накопления к примеру (Мы же отказались от ТЧ). А завтра вы распровели этот документ, что будет с проводками? А послезавтра снова хотите провести изменив состав строк - откуда вы строки возьмете, если после отмены проводок, строки просто похерятся?

(254) Да ну как же? Активность - участие в движениях, в остатках. Проведён = Истина

(242) Если вы все прекрасно понимаете, тогда не менее прекрасно должны понимать, что основой системы контроля является гарантированное обнаружение нарушений. Если у вас этого гарантированного обнаружения нет, тогда грош цена всей вашей системе. Потому что основой ее будет только лишь ваша вера. И, конечно, все будет прекрасно. Вы будете верить в то, что ваша система работает, а злоумышленники будут изо всех сил поддерживать в вас эту веру

// Вроде бы и слова все верные пишет, и в предложения складываются нормально, но что доказать пытается - непонятно...

(257) Что основой системы контроля должен быть не контроль ОО, а гарантированное обнаружение нарушений

(258) Гарантированной системы обнаружения крылатых ракет не существует. Распустить армию, упразднить РЛС как класс...
- но у нас же есть самолёты!
- Тогда попробуйте летать на них столько, чтобы покрывать каждый квадрат ежеминутно
- Даже у нас столько керосина нет...
- Тогда - пункт первый: Распустить армию, упразднить РЛС как класс...

(259) А гарантированная система обнаружения нарушений существует

(250) "Т.е., возможна ситуация, когда есть движения у документа, помеченного на удаление."
- в ут 11.4 это обычная штатная ситуация, которая получается обычными штатными действиями пользователя. недавно подымали такую ветку.

(256) "что основой системы контроля является гарантированное обнаружение нарушений."
неверно. количество возможных "нарушений"/проблем - неизвестно. вы не обладаете полнотой информации. соответственно даже не сможете обнаружить нарушение. тем более когда у вас система открыта со всех сторон. поэтому первое что надо сделать если паранойя и такая задача стоит - делать не систему контроля, которая обнаруживает нарушения, а наглухо закрыть все что можно. кроме одно дороги. Это в принципе одна из разновидностей "системы контроля", с которой и начинают строить эту систему контроля.

.. "а наглухо закрыть все что можно. кроме одно дороги."
- это само по себе в общем случае задача решаемая очень частично, ибо "все что можно" - это тоже есть "все что можно с нашей точки зрения/знаний/представлений", а со стороны нарушителя он еше пяток путей видит..

(262) (263) И все это решается, если у вас есть способ получения доказательства неизменности данных

(264) Типовой транзакционный журнал ессно не подойдет?

Уууубл схлестнулись теоретики
А ЕРП как глючила так и глючит

(265) Нет, конечно

(266) Подождите немного. Будут вам безглючные конфигурации

(266) Это нормальное состояние для такой категории ПО

(267) подруби версионирование?

(270) Вам сейчас расскажут, что версии хранятся в базе, а базу можно напрямую ковырнуть.

(271) Тогда может выгнать спецов по безопасности и нанять нормальных?

(272) А если нападут рептилойды и загипнотизируют "нормальных", чтобы те доступ предоставили?) Как там Калимулин писал - "Первая заповедь профессионала - возможно все, будь готов ко всему"(198)

(273) Ну если школьники изменили записи в БД, выгоняем школьников кто обслуживал БД, и берем профессионалов ;-)

Бухгалтер говорит: мне нужно чтобы здесь было 37тысяч500!
- Сделано!
Бухгалтер в недоумении, каждый квартал штрафы теперь получает за какую-то странную сумму...

Задача: найди ТЗ по которому был исправлен сбор фактических данных на конкретную сумму

(274) А давайте не бла-бла-бла про профессионалов, а конкретно. Я вам описал атаку 10х1 1х10. Как ваши профессионалы это обнаружат? Только не надо уходить в глухую защиту и говорить, что этого не будет.

(276) Это невозможно без полных прав. Соответственно, если такое случится - это значит, что кому-то это было нужно и очень похоже, что было нужно с умыслом. История эта должна когда-то всплыть и по данному артикулу будет расследование, в том числе и со сверкой с первичкой. Что тут не найти - неведомо мне, а за 15 лет искали многое, в том числе и сбои в БД, когда просто ошмётки оставались от документа

(277) Я вам описал конкретную ситуацию 10*1,1*10, 9 штук забираем себе. Конкретно эта история никому ничего "не должна". И "всплывать" она не собирается. Как вы ее обнаружите?

(278) да сколько уже можно? У вас есть поступление и есть складской ордер, в складском ордере кладовщик терминалом просканировал 10шт, а вы в поступлении указали, что пришла 1шт. Уже здесь сразу видно косяк, либо вас, как оператора, либо поставщика (прислал больше чем в накладной).
Второй вариант, по ЭДО у вас загрузилось поступление в 10шт, вас шлет сразу лесом в плане редактирования. Все через ЭДО.

(279) в первом варианте другой отдел сверяет все косяки по приходам, запрашивает накладную у поставщика. В итоге понимает, что вы вручную отредактировали количество и дает вам по шее.

(278) Как же не собирается, если доход по ней отрицательный? После первой же продажи и всплывёт

(280) Какие косяки? Как ваш контролирующий отдел поймет куда смотреть? Где искать косяк? Ваш контролирующий отдел поверил первичку, а я внес исправления после проверки. Что вы будете делать?

(281) Какой-такой отрицательный доход? Вы торгуете этой фигней в объеме 100 000 штук в месяц. Я забрал 9

Вот же вам заняться нечем)

(281) Такое впечатление, что вы не учетом занимаетесь, а в гараже молотком стучите. А в 1С немного подрабатываете от случая к случаю

(284) Системы информационной безопасности это не фигня

(284) Пятница же)
(282) Ежедневный/Еженедельный/Ежемесячный отчет, рассылка по косякам ведения учета. Даты запрета для редактирования документов  и т.д. Попробуйте в старый период залезти и отредактировать поступление) У вас слетит закрытие месяца и придется все перезакрывать. А если еще интеркомпани, то придется перепродажи править, а у операторов по поступлению таких прав нет.

В общем случае все сводится к тому, что нужно привлечь кучу людей с различными правами, чтобы это провернуть. А это уже преступный сговор, который рано, или поздно выявляется. Не нужно давать полные права и будет вам счастье.

Вот и получается, что чем больше людей в теме, тем сложнее сохранить анонимность, большой риск, что сдадут всю группу. Поэтому, лучше на берегу рубить возможности "косячить" для юзверов, чтобы у них даже такой мысли не появилось, что-то стащить. Обычно это АРМ и правами заруливается.

(283) Божечьки, какие же глупости вы пишете... 9 из 100000 - это какой процент? Даже думать о таких потерях никто не будет.
(285) Вот по Вашим сообщениям видно, что учётом вообще никогда не занимались - одну фразу прочитали о, якобы, вселенской проблеме и даже не задумались над прочитанным "а реализуемо ли это в принципе". Вам все пишут: - невозможно! Потому что - не стоит это того. Только человек-дурак может провернуть подобную махинацию, потому что на два шага вперёд подумать не может. Таких есть, их полно. Постоянно избавляемся от горе-махинаторов. Юрист из судов не вылезает, потому что у генерала однозначное к этому отношение: увольнять по статье, чтоб другие не нарывались на таких

(287) Сложно разговаривать с непрофессионалом. 10*1, 1*10 нигде ничего не "слетит". Ни в "закрытии месяца", ни во взаиморасчетах с контрагентами. Вы просто заберете себе 9 штук и все. Это немного отразится на себестоимости. Но если вы взяли мало, а объемы большие, то этого никто никогда не заметит

(291) О! Гляжу - ознакомились с себестоимостью, похвально! Ещё немного... лет и Вы тоже станете разбираться в учёте, защите учётных данных и автоматической защите от описываемых Вами якобы проблем

(289) Такая система будет основана на вере. И поэтому она, извините, фуфловая. Нормальная система должна быть основана на доказательствах.

(291) Как со стенкой разговаривать...Я же вам писал выше, есть 2 документа, в первом СКЛАД через ТСД просканировал 10шт, создал складской ордер на приход. Это надеюсь вам понятно? У вас есть право создавать и редактировать только ПОСТУПЛЕНИЕ. Складской ордер и Поступление это РАЗНЫЕ документы. Это надеюсь тоже понятно? Вот и получается, что по складу у вас пришло 10шт, а от поставщика всего 1шт. У вас появилась разница между реальным приходом и накладной от поставщика. Вот как раз эту разницу и проверяет контроль и на основании нее происходит проверка, в случае, если поставщик отправил больше чем положено, то либо, мы докупаем, либо возвращаем поставщику. Если же выявится, что поступление задним числом ковырнул Вася, а поставщик отправил 10шт, то Вася получает по шее.

Правильно вы пишите, тяжело разговаривать с непрофессионалом, который даже не понимает зачем нужны регистры)

(290) Кто все? Вы тут вдвоем-втроем отчаянно защищаете свой фуфловый подход к безопасности. До всех вам  еще далеко

(294) Не отклоняйтесь от темы. Как защититься от пользователя с полными правами?

(296) Приведите ваш подход не фуфловый. Я так понимаю, все к этому и идет. Валяйте уже.

(296) Не свой, а общепринятый. А вот Ваши сомнения развеивать - действительно как со стенкой разговаривать. Хотите - регистрируйте всё на бумаге как и раньше и ни ногой в автоматизацию, потому как она "вся дырявая". Удачи. И просветления!

(297) это как раз вы же с темы сейчас спрыгиваете. Вы описали конкретный кейс, с изменением 10шт на 1шт. Я вам написал как это легко отследить и надавать по шее такому оператору.

Есть что сказать по этому поводу?
(297) "Как защититься от пользователя с полными правами?" - не давать пользователю полных прав

Вы лучше расскажите в каких крупных оптовых компаниях вы работали, где автоматизировали крупные склады. С какими проблемами столкнулись в плане безопасности и как их решили.

У вас же есть серебряная пуля, так ведь, иначе к чему вся эта демагогия?

(300) Как именно вы это отследите, если изменение внесет пользователь с полными правами?

(304) смотрите сюда (301)

(301) Нет - это не защита. Вам любой скажет, что вы сейчас демагогией занимаетесь. Пользователь с полными правами - это то, что вам дано. Когда в школе дают задачу типа "У вас было 3 яблока..." ответ "А это были не яблоки, а груши..." не прокатывает.
Защитой будет гарантированное обнаружение действий такого пользователя

(299) Зачем на бумаге? Откуда такой вывод?

(305) Ладно. Можно считать, что вы ответили "никак". Вот поэтому я вашу систему защиты и называю фуфловой

(308) (306) А зачем вообще давать полные права? Для работы с конфигурацией и внесения изменений это не нужно, там есть отдельные права на это. Для реализации товаров -отдельные права, для бухгалтерии отдельные права и т.д. Можете оставить хозе полные права под его юзвером.
Да даже, если у кого-то есть полные права, это не значит, что он может прийти на склад и что-то от туда взять, даже если он подделает документы, то без подписи в накладной он пойдет нахер.

Вы вообще со складом работали более менее крупным, видели как выдача товара происходит?

(309) Полные права не дают, их берут )))

(311) каким образом? Ломают 1с, скуль, учетку с полными правами? Так это уже к сетевой безопасности и к админам вопрос. И все равно возвращаемся к (309)

Назовите хоть одну крупную бизнес систему с 100% защитой? Вы так и не озвучили вашу серебряную пулю гарантирующую 100% защиту.

Озвучьте, в каких крупных торговых компаниях вы работали и в какой роли. Чтобы оценить ваш "профессионализм".

(311) > Полные права не дают, их берут ))) какие-то неумные

отсутствие прав - это привелегия (в крупных конторах)

(313) Раз десять уже озвучил. Доказательство неизменности данных.
Строите систему безопасности на доказательстве неизменности данных и получаете те самые 100% защиты.

По-моему, человек про блокчейн перечитал..ся

(316) Покажите хотя бы одну такую систему и хоть одну крупную контору торговую, которая ей пользуется.
"Доказательство неизменности данных" - что в себя включает? Как вы себе это представляете? В вашем же примере, есть полные права, следовательно данные всегда можно изменить и вы эти полные права подаете как данность.

(316) Зачем доказывать то, что не может произойти?
Если конечно Рафик (водитель электропогрузчика) пинком открывает дверь в кассу... То да, нужны доказательства, что Рафик украл деньги. А если в кассу входит только кассир или собственник - тогда ни каких доказательств, что "Рафик не виноват" не требуется...

(317) Блокчей децентрализован, опять же возьмем площадку найсхеш. Нормас они народ нагнули, когда там кучу битков скомуниздили, никакой блокчейн не помог))

(321) Да я все жду, пока Калимулин разродится своей гениальной идеей защиты. А пока только пустой треп на тему - вот ваш метод фуфловый, а мой крутой, но я не скажу как его реализовать)

(322) Ветка нужна ибо рука чешется?

(323) Это надо у Виктора спросить, он куда-то удалился из этой ветки, может уже и вопрос свой решил. Ветку апали как могли)

(319) Хорошая у вас система доказательства. Ее еще А.П.Чехов "рекламировал"
"Этого не может быть, потому что не может быть никогда"

(318) Данные всегда можно изменить, это правда. Но правда и в том, что это изменение всегда можно обнаружить, если озаботиться получением доказательства неизменности данных