Н
Даже не админ виноват, а лично сам Владышев. Ибо не продумал ))
Size: a a a
2020 January 21
RM
Что за волшебная контора: безопасники - звери, консоль администрирования стоит открытой в курилке, оборудование только с RW доступом, софт мониторинга несертифицирован, вокруг злоумышленники шныряют и виноват во всем админ, у которого в браузере звёздочки не рисуются.
Вот простой кейс. Чуваки передали селект и креденшелы для реализации ODBC-проверки. По какой-то причине то, что отдаёт база не совпадает с тем, что ожидали заказчки. Приходит к админу Забикса делегация из админа БД, админа сервиса и менеджера услуги посмотреть реализацию и видят поле password в открытом виде. Вполне вероятно, что они видят такое в графическом интерфейсе впервые в жизни. Удивление, вопросы... Я сам, кроме Забикса, последний раз видел такое году в 2001ом.
Н
Вот простой кейс. Чуваки передали селект и креденшелы для реализации ODBC-проверки. По какой-то причине то, что отдаёт база не совпадает с тем, что ожидали заказчки. Приходит к админу Забикса делегация из админа БД, админа сервиса и менеджера услуги посмотреть реализацию и видят поле password в открытом виде. Вполне вероятно, что они видят такое в графическом интерфейсе впервые в жизни. Удивление, вопросы... Я сам, кроме Забикса, последний раз видел такое году в 2001ом.
Векторов угроз может быть бесконечное множество и они не могут быть закрыты некоей "Универсальной Системой". В рамках конкретной организации оно сокращается в зависимости от проистекающих бизнес-процессов. Вот под эти оставшиеся вектора угроз или разрабатываются оргмеры или меняется софт. Если наколеночная поправка типа поля на "password" будет признана ответственным лицом мерой, достаточной для устранения угрозы - ради бога, правьте.
А вот уверять ответственное лицо в том, что "стопудов никто ничего не узнает" при том, что такой хотфикс слетит при первом же апдейте - себе дороже. Потому что кто потом по жопе получит?
А вот уверять ответственное лицо в том, что "стопудов никто ничего не узнает" при том, что такой хотфикс слетит при первом же апдейте - себе дороже. Потому что кто потом по жопе получит?
MO
Как обстоит дело в той версии, что имеет бумажку ФСТЭК? (2.2, кажется)
RM
Векторов угроз может быть бесконечное множество и они не могут быть закрыты некоей "Универсальной Системой". В рамках конкретной организации оно сокращается в зависимости от проистекающих бизнес-процессов. Вот под эти оставшиеся вектора угроз или разрабатываются оргмеры или меняется софт. Если наколеночная поправка типа поля на "password" будет признана ответственным лицом мерой, достаточной для устранения угрозы - ради бога, правьте.
А вот уверять ответственное лицо в том, что "стопудов никто ничего не узнает" при том, что такой хотфикс слетит при первом же апдейте - себе дороже. Потому что кто потом по жопе получит?
А вот уверять ответственное лицо в том, что "стопудов никто ничего не узнает" при том, что такой хотфикс слетит при первом же апдейте - себе дороже. Потому что кто потом по жопе получит?
А с чего Вы взяли, что цель уверить кого-то, что "стопудов никто ничего не узнает"? Попахивает словоблудием. Вопрос об элементарном техническом решении, которое не требует серьёзных затрат и не создаёт никаких препятствий при работе с системой, но является стандартным для всех графических интерфейсов. И, да, ни одна мера не может быть "достаточной для устранения угрозы", в том числе включение сервера от электропитания.
PZ
freepbx нынче чумовой - там красивеньким облачком затеняется.
но вообще люди обычно ожидают ответ типа "окей, мы тебя поняли и запишем в backlog!"
но вообще люди обычно ожидают ответ типа "окей, мы тебя поняли и запишем в backlog!"
PZ
ну и маринуется там 10 лет...
Н
А с чего Вы взяли, что цель уверить кого-то, что "стопудов никто ничего не узнает"? Попахивает словоблудием. Вопрос об элементарном техническом решении, которое не требует серьёзных затрат и не создаёт никаких препятствий при работе с системой, но является стандартным для всех графических интерфейсов. И, да, ни одна мера не может быть "достаточной для устранения угрозы", в том числе включение сервера от электропитания.
А какая стоит цель в прикрытии снмп-комьюнити газеткой?
RM
А какая стоит цель в прикрытии снмп-комьюнити газеткой?
Предотвращение вывода на экран. И ежу понятно что пароль будет виден в консоли браузера. Если у вас вместо опенспейса бункер - для вас весь кейс не актуален.
Н
Кто-то считает комьюнити паролем, авторы Zabbix - нет. Не Zabbix SIA использует вас, а вы - Zabbix )) Не устраивает архитектура - меняете на софт, прикрывающий ваши векторы. По мне - так. А хотфиксить на коленке софт... Сегодня пофиксил, завтра забыл.
RM
Вопрос изначально был в том можно ли реализовать функцию и почему её нет, хотя она стала стандартом для всех графических интерфейсов.
RM
Кто-то считает комьюнити паролем, авторы Zabbix - нет. Не Zabbix SIA использует вас, а вы - Zabbix )) Не устраивает архитектура - меняете на софт, прикрывающий ваши векторы. По мне - так. А хотфиксить на коленке софт... Сегодня пофиксил, завтра забыл.
Изначально меня интересовали в большей степени ODBC проверки.
RM
Где существуют два поля User и Password. Или Password это для кого-то не пароль?
Н
Не знаю, у меня ODBC нет и я не в курсе, что там закрывается. Считаете это багом? Пишите в багрепорт - сделаете хорошо всей общественности.
AK
Где существуют два поля User и Password. Или Password это для кого-то не пароль?
И если уж закрывать это поле, то где-то рядом нужна кнопка "показать". А так нормальная идея.
MO
в настройках LDAP, кстати, пароль закрыт
RM
s
Проще оказалось поменять CTextBox на CPassBox в строке 491 (SNMP) и 627 (ODBC) в том же файле include/views/configuration.item.edit.php.
👍
RM
Принял в клуб костылятелей веб-моды Забикса? 😊
s
Принял в клуб костылятелей веб-моды Забикса? 😊
:D если галочку show/hide присобачишь - велкам)