Пропало поле ввода ограничения одновременных сеансов

Модератор: Модераторы

Ответить
Sly
Сообщения: 546
Зарегистрирован: 25 мар 2016, 09:10

Пропало поле ввода ограничения одновременных сеансов

Сообщение Sly » 18 июн 2018, 08:24

Пропало поле ввода ограничения одновременных сеансов в настройках пользователей. Хотя в таблице это ограничение показывается.
И как же мне теперь ограничить подключения через один логин?
Аватара пользователя
Константин Коротких
Разработчик
Разработчик
Сообщения: 6168
Зарегистрирован: 01 сен 2015, 08:29

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Константин Коротких » 18 июн 2018, 11:25

Мы перерабатываем механизм авторизации для работы с некоторыми сервисами ЛЭРС УЧЕТ, в результате чего данный параметр может создавать неудобства при работе с сервисами. По этой причине мы убрали обработку данного параметра и удалили его с формы. Поля БД связанные с параметром пока не удалены.
Не могли бы вы пояснить, для чего вам необходим данный параметр?
20 и 21 июля 2020. IX обучающий семинар в Москве. Подробнее ...
Sly
Сообщения: 546
Зарегистрирован: 25 мар 2016, 09:10

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Sly » 19 июн 2018, 06:18

Это огромная дыра в безопасности системы. Плохо, что вы этого не понимаете.
Аватара пользователя
Евгений Николаенко
Главный воспитатель
Главный воспитатель
Сообщения: 4504
Зарегистрирован: 03 фев 2010, 03:52
Откуда: Торонто, Канада

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Евгений Николаенко » 19 июн 2018, 06:37

Поясните пожалуйста, почему вы считаете отсутствие данного ограничения дырой. У вас под одной учетной записи работают разные пользователи?
Блог разработчиков ЛЭРС Учёт:
http://blog.lers.ru
Sly
Сообщения: 546
Зарегистрирован: 25 мар 2016, 09:10

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Sly » 19 июн 2018, 06:52

Потому, что раньше это ограничение вводили неспроста, видимо был более грамотный разработчик, чем теперь.
Вот ещё одна тема на ту же тему проблемы в ЛЭРС Учет с ограничением подключений.
Аватара пользователя
Константин Коротких
Разработчик
Разработчик
Сообщения: 6168
Зарегистрирован: 01 сен 2015, 08:29

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Константин Коротких » 19 июн 2018, 07:04

Эти темы никак не связаны. Вы не ответили на вопрос, который вам задал Евгений Николаенко.
20 и 21 июля 2020. IX обучающий семинар в Москве. Подробнее ...
Sly
Сообщения: 546
Зарегистрирован: 25 мар 2016, 09:10

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Sly » 19 июн 2018, 08:25

Вариантов много. Например, несложно сделать приложение, которое будет подключаться на все открытые для подключения порты, потребляя ресурсы сервера. Поскольку вы об ограничениях не позаботились, то последствия зависят от операционной системы, это может быть и падение производительности системы, и эксепшен в службе опроса, и BSOD Windows.
Не надо думать, что не найдется желающих разобраться с алгоритмом авторизации ЛЭРСА, и приводя к неработоспособности сервер огромным количеством созданных соединений, потешить свое чувство величия. Вирусы ведь пишут некоторые, хотя вы наверное тоже не понимаете, зачем.
energon
Опытный пользователь
Сообщения: 794
Зарегистрирован: 18 мар 2014, 12:25

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение energon » 19 июн 2018, 08:41

Sly писал(а):Вариантов много. Например, несложно сделать приложение, которое будет подключаться на все открытые для подключения порты, потребляя ресурсы сервера. Поскольку вы об ограничениях не позаботились, то последствия зависят от операционной системы, это может быть и падение производительности системы, и эксепшен в службе опроса, и BSOD Windows.
Не надо думать, что не найдется желающих разобраться с алгоритмом авторизации ЛЭРСА, и приводя к неработоспособности сервер огромным количеством созданных соединений, потешить свое чувство величия. Вирусы ведь пишут некоторые, хотя вы наверное тоже не понимаете, зачем.
вы чересчур преувеличиваете... про дыры, BSOD и вирусописателей...
ООО "Энергосистема", г. Киров
Sly
Сообщения: 546
Зарегистрирован: 25 мар 2016, 09:10

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Sly » 19 июн 2018, 08:46

Ещё вариант - пользователь может раздавать свой логин и пароль посторонним людям. Администратор не сможет это пресечь, и ему сложно будет это выявить.
Sly
Сообщения: 546
Зарегистрирован: 25 мар 2016, 09:10

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Sly » 19 июн 2018, 08:49

energon писал(а): вы чересчур преувеличиваете.
Так, самую малость.
energon
Опытный пользователь
Сообщения: 794
Зарегистрирован: 18 мар 2014, 12:25

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение energon » 19 июн 2018, 08:54

Sly писал(а):
energon писал(а): вы чересчур преувеличиваете.
Так, самую малость.
прекратите флудить на форуме, давайте будем обсуждать конструктивно более серьезные проблемы ЛЭРС, чем эти "высосанные из пальца проблемы"
ООО "Энергосистема", г. Киров
Sly
Сообщения: 546
Зарегистрирован: 25 мар 2016, 09:10

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Sly » 19 июн 2018, 09:05

Хорошо, продолжайте надеяться на русский "Авось"
energon
Опытный пользователь
Сообщения: 794
Зарегистрирован: 18 мар 2014, 12:25

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение energon » 19 июн 2018, 11:24

Sly писал(а):Хорошо, продолжайте надеяться на русский "Авось"
Используйте "Локальные политики безопасности", чтобы ограничить доступ к портам по определенным IP адресам (ваших клиентов)
ООО "Энергосистема", г. Киров
Sly
Сообщения: 546
Зарегистрирован: 25 мар 2016, 09:10

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Sly » 19 июн 2018, 13:58

К сожалению, клиенты подключаются через разных провайдеров Интернет, и адреса у них динамические.
Аватара пользователя
Константин Коротких
Разработчик
Разработчик
Сообщения: 6168
Зарегистрирован: 01 сен 2015, 08:29

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Константин Коротких » 20 июн 2018, 04:59

Не совсем понимаю каким образом ограничение количества одновременных подключений предовратит DoS атаку, которой вы боитесь. Ограничение на количество одновременных сеансов выполнялось уже после того как проведена аутентификация пользователя. Соответственно, до того как пользователь будет отключен, к БД будет выполнено с десяток запросов, что позволит создать нагрузку на сервер даже при наличии этого параметра.

В любом случае защита от DoS делается по другому. Это и локальные политики безопасности и встроенные механизмы провайдера и, в том числе, механизмы конечнного ПО. В настоящее время эти механизмы в нашем сервере не предусмотрены, поэтому обсуждать их внедрение надо отдельно.

А почему проблемой является сканирование всех открытых портов? Сервер принимает подключения от клиентов с одного порта (по умолчанию 10000).

Служба опроса это вообще отдельная задача, в ней возможность ограничить число подключений есть. В теме, на которую вы ссылаетесь, была ошибка, которая уже исправлена.
20 и 21 июля 2020. IX обучающий семинар в Москве. Подробнее ...
Sly
Сообщения: 546
Зарегистрирован: 25 мар 2016, 09:10

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Sly » 20 июн 2018, 09:34

Sly писал(а):Ещё вариант - пользователь может раздавать свой логин и пароль посторонним людям. Администратор не сможет это пресечь, и ему сложно будет это выявить.
Аватара пользователя
Антон Чичков
Администратор
Администратор
Сообщения: 5412
Зарегистрирован: 16 мар 2010, 07:04
Откуда: Хабаровск

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Антон Чичков » 21 июн 2018, 11:43

Опять же, сомнительно пытаться бороться с раздачей паролей с помощью ограничения одновременных сеансов. Это должно решаться административно. Если под именем пользователя выполнено какое-то вредительское действие, его нужно наказать. Человек должен быть сам заинтересован в том чтобы хранить логин и пароль в секрете. Иначе никакими искусственными ограничениями порядка добиться не получится.

К тому же, для пользователей можно задать несколько разрешённых диапазонов IP-адресов, под которыми им можно входить. Если настолько важно ограничить вход с одного компьютера, можно дать доступ только из локальной сети и использовать VPN.
20 и 21 июля 2020. IX обучающий семинар в Москве. Подробнее ...
Sly
Сообщения: 546
Зарегистрирован: 25 мар 2016, 09:10

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Sly » 22 июн 2018, 14:26

можно дать доступ только из локальной сети и использовать VPN.
Хороший совет, на фоне последних событий, всё идёт к тому, что скоро законодатели запретят все VPN.
Константин Коротких писал(а):Мы перерабатываем механизм авторизации для работы с некоторыми сервисами ЛЭРС УЧЕТ, в результате чего данный параметр может создавать неудобства при работе с сервисами. По этой причине мы убрали обработку данного параметра и удалили его с формы. Поля БД связанные с параметром пока не удалены.
Вы бы лучше поподробнее описали, что за странные неудобства при работе с сервисами у вас возникли в новом механизме авторизации из за пустячного ограничения числа подключений под одним логином?
Иван Славный
Инженер техподдержки
Инженер техподдержки
Сообщения: 6796
Зарегистрирован: 02 мар 2016, 05:45

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Иван Славный » 25 июн 2018, 06:21

Мы посчитали, что данная настройка, с учетом настройки разрешённых диапазонов IP-адресов в свойствах пользователя, является избыточной и не несет более какой-либо полезной функции, а наоборот у большинства пользователей может вызвать неудобство при ее использовании.
20 и 21 июля 2020. IX обучающий семинар в Москве. Подробнее ...
Аватара пользователя
anbeluaev
Сообщения: 518
Зарегистрирован: 26 мар 2015, 11:00

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение anbeluaev » 28 июн 2018, 10:25

ошибаетесь, функция крайне востребована, сделайте просто значение по умолчанию = 0(неограниченно)
Аватара пользователя
Константин Коротких
Разработчик
Разработчик
Сообщения: 6168
Зарегистрирован: 01 сен 2015, 08:29

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Константин Коротких » 28 июн 2018, 11:10

anbeluaev, а вы может описать для чего вам необходима данная функция?
20 и 21 июля 2020. IX обучающий семинар в Москве. Подробнее ...
Sly
Сообщения: 546
Зарегистрирован: 25 мар 2016, 09:10

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Sly » 28 июн 2018, 12:00

Ну, например, я администрирую лэрс. Возникла необходимость войти под паролем админа с рабочего места простого пользователя. Если я забуду разлогиниться, то пользователь будет заходить и творить беспредел с админскими правами. Если я ограничу подключение, то сразу замечу свою оплошность. Очень даже востребованная функция. И Вы мне так и не ответили на вопрос:
Вы бы лучше поподробнее описали, что за странные неудобства при работе с сервисами у вас возникли в новом механизме авторизации из за пустячного ограничения числа подключений под одним логином?
Иван Славный
Инженер техподдержки
Инженер техподдержки
Сообщения: 6796
Зарегистрирован: 02 мар 2016, 05:45

Re: Пропало поле ввода ограничения одновременных сеансов

Сообщение Иван Славный » 10 июл 2018, 05:19

Sly писал(а):Ну, например, я администрирую лэрс. Возникла необходимость войти под паролем админа с рабочего места простого пользователя. Если я забуду разлогиниться, то пользователь будет заходить и творить беспредел с админскими правами. Если я ограничу подключение, то сразу замечу свою оплошность.
В журнале действий пользователя вы всегда можете посмотреть с какого IP адреса тот или иной пользователь подключался. Если так случится, что вы забудете разлогинится на чужом компьютере, то в журнале действий пользователя сможете отследить с IP адрес подключения и ограничить подключение с этого адреса в настройках учетной записи.


Sly писал(а):И Вы мне так и не ответили на вопрос:
Цитата:
Вы бы лучше поподробнее описали, что за странные неудобства при работе с сервисами у вас возникли в новом механизме авторизации из за пустячного ограничения числа подключений под одним логином?
Возможно вы не заметили, поэтому продублирую свой ответ:
Иван Славный писал(а):Мы посчитали, что данная настройка, с учетом настройки разрешённых диапазонов IP-адресов в свойствах пользователя, является избыточной и не несет более какой-либо полезной функции, а наоборот у большинства пользователей может вызвать неудобство при ее использовании.
20 и 21 июля 2020. IX обучающий семинар в Москве. Подробнее ...
Ответить