Страница 1 из 1

Пропало поле ввода ограничения одновременных сеансов

Добавлено: 18 июн 2018, 08:24
Sly
Пропало поле ввода ограничения одновременных сеансов в настройках пользователей. Хотя в таблице это ограничение показывается.
И как же мне теперь ограничить подключения через один логин?

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 18 июн 2018, 11:25
Константин Коротких
Мы перерабатываем механизм авторизации для работы с некоторыми сервисами ЛЭРС УЧЕТ, в результате чего данный параметр может создавать неудобства при работе с сервисами. По этой причине мы убрали обработку данного параметра и удалили его с формы. Поля БД связанные с параметром пока не удалены.
Не могли бы вы пояснить, для чего вам необходим данный параметр?

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 06:18
Sly
Это огромная дыра в безопасности системы. Плохо, что вы этого не понимаете.

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 06:37
Евгений Николаенко
Поясните пожалуйста, почему вы считаете отсутствие данного ограничения дырой. У вас под одной учетной записи работают разные пользователи?

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 06:52
Sly
Потому, что раньше это ограничение вводили неспроста, видимо был более грамотный разработчик, чем теперь.
Вот ещё одна тема на ту же тему проблемы в ЛЭРС Учет с ограничением подключений.

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 07:04
Константин Коротких
Эти темы никак не связаны. Вы не ответили на вопрос, который вам задал Евгений Николаенко.

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 08:25
Sly
Вариантов много. Например, несложно сделать приложение, которое будет подключаться на все открытые для подключения порты, потребляя ресурсы сервера. Поскольку вы об ограничениях не позаботились, то последствия зависят от операционной системы, это может быть и падение производительности системы, и эксепшен в службе опроса, и BSOD Windows.
Не надо думать, что не найдется желающих разобраться с алгоритмом авторизации ЛЭРСА, и приводя к неработоспособности сервер огромным количеством созданных соединений, потешить свое чувство величия. Вирусы ведь пишут некоторые, хотя вы наверное тоже не понимаете, зачем.

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 08:41
energon
Sly писал(а):Вариантов много. Например, несложно сделать приложение, которое будет подключаться на все открытые для подключения порты, потребляя ресурсы сервера. Поскольку вы об ограничениях не позаботились, то последствия зависят от операционной системы, это может быть и падение производительности системы, и эксепшен в службе опроса, и BSOD Windows.
Не надо думать, что не найдется желающих разобраться с алгоритмом авторизации ЛЭРСА, и приводя к неработоспособности сервер огромным количеством созданных соединений, потешить свое чувство величия. Вирусы ведь пишут некоторые, хотя вы наверное тоже не понимаете, зачем.
вы чересчур преувеличиваете... про дыры, BSOD и вирусописателей...

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 08:46
Sly
Ещё вариант - пользователь может раздавать свой логин и пароль посторонним людям. Администратор не сможет это пресечь, и ему сложно будет это выявить.

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 08:49
Sly
energon писал(а): вы чересчур преувеличиваете.
Так, самую малость.

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 08:54
energon
Sly писал(а):
energon писал(а): вы чересчур преувеличиваете.
Так, самую малость.
прекратите флудить на форуме, давайте будем обсуждать конструктивно более серьезные проблемы ЛЭРС, чем эти "высосанные из пальца проблемы"

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 09:05
Sly
Хорошо, продолжайте надеяться на русский "Авось"

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 11:24
energon
Sly писал(а):Хорошо, продолжайте надеяться на русский "Авось"
Используйте "Локальные политики безопасности", чтобы ограничить доступ к портам по определенным IP адресам (ваших клиентов)

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 19 июн 2018, 13:58
Sly
К сожалению, клиенты подключаются через разных провайдеров Интернет, и адреса у них динамические.

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 20 июн 2018, 04:59
Константин Коротких
Не совсем понимаю каким образом ограничение количества одновременных подключений предовратит DoS атаку, которой вы боитесь. Ограничение на количество одновременных сеансов выполнялось уже после того как проведена аутентификация пользователя. Соответственно, до того как пользователь будет отключен, к БД будет выполнено с десяток запросов, что позволит создать нагрузку на сервер даже при наличии этого параметра.

В любом случае защита от DoS делается по другому. Это и локальные политики безопасности и встроенные механизмы провайдера и, в том числе, механизмы конечнного ПО. В настоящее время эти механизмы в нашем сервере не предусмотрены, поэтому обсуждать их внедрение надо отдельно.

А почему проблемой является сканирование всех открытых портов? Сервер принимает подключения от клиентов с одного порта (по умолчанию 10000).

Служба опроса это вообще отдельная задача, в ней возможность ограничить число подключений есть. В теме, на которую вы ссылаетесь, была ошибка, которая уже исправлена.

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 20 июн 2018, 09:34
Sly
Sly писал(а):Ещё вариант - пользователь может раздавать свой логин и пароль посторонним людям. Администратор не сможет это пресечь, и ему сложно будет это выявить.

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 21 июн 2018, 11:43
Антон Чичков
Опять же, сомнительно пытаться бороться с раздачей паролей с помощью ограничения одновременных сеансов. Это должно решаться административно. Если под именем пользователя выполнено какое-то вредительское действие, его нужно наказать. Человек должен быть сам заинтересован в том чтобы хранить логин и пароль в секрете. Иначе никакими искусственными ограничениями порядка добиться не получится.

К тому же, для пользователей можно задать несколько разрешённых диапазонов IP-адресов, под которыми им можно входить. Если настолько важно ограничить вход с одного компьютера, можно дать доступ только из локальной сети и использовать VPN.

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 22 июн 2018, 14:26
Sly
можно дать доступ только из локальной сети и использовать VPN.
Хороший совет, на фоне последних событий, всё идёт к тому, что скоро законодатели запретят все VPN.
Константин Коротких писал(а):Мы перерабатываем механизм авторизации для работы с некоторыми сервисами ЛЭРС УЧЕТ, в результате чего данный параметр может создавать неудобства при работе с сервисами. По этой причине мы убрали обработку данного параметра и удалили его с формы. Поля БД связанные с параметром пока не удалены.
Вы бы лучше поподробнее описали, что за странные неудобства при работе с сервисами у вас возникли в новом механизме авторизации из за пустячного ограничения числа подключений под одним логином?

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 25 июн 2018, 06:21
Иван Славный
Мы посчитали, что данная настройка, с учетом настройки разрешённых диапазонов IP-адресов в свойствах пользователя, является избыточной и не несет более какой-либо полезной функции, а наоборот у большинства пользователей может вызвать неудобство при ее использовании.

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 28 июн 2018, 10:25
anbeluaev
ошибаетесь, функция крайне востребована, сделайте просто значение по умолчанию = 0(неограниченно)

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 28 июн 2018, 11:10
Константин Коротких
anbeluaev, а вы может описать для чего вам необходима данная функция?

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 28 июн 2018, 12:00
Sly
Ну, например, я администрирую лэрс. Возникла необходимость войти под паролем админа с рабочего места простого пользователя. Если я забуду разлогиниться, то пользователь будет заходить и творить беспредел с админскими правами. Если я ограничу подключение, то сразу замечу свою оплошность. Очень даже востребованная функция. И Вы мне так и не ответили на вопрос:
Вы бы лучше поподробнее описали, что за странные неудобства при работе с сервисами у вас возникли в новом механизме авторизации из за пустячного ограничения числа подключений под одним логином?

Re: Пропало поле ввода ограничения одновременных сеансов

Добавлено: 10 июл 2018, 05:19
Иван Славный
Sly писал(а):Ну, например, я администрирую лэрс. Возникла необходимость войти под паролем админа с рабочего места простого пользователя. Если я забуду разлогиниться, то пользователь будет заходить и творить беспредел с админскими правами. Если я ограничу подключение, то сразу замечу свою оплошность.
В журнале действий пользователя вы всегда можете посмотреть с какого IP адреса тот или иной пользователь подключался. Если так случится, что вы забудете разлогинится на чужом компьютере, то в журнале действий пользователя сможете отследить с IP адрес подключения и ограничить подключение с этого адреса в настройках учетной записи.


Sly писал(а):И Вы мне так и не ответили на вопрос:
Цитата:
Вы бы лучше поподробнее описали, что за странные неудобства при работе с сервисами у вас возникли в новом механизме авторизации из за пустячного ограничения числа подключений под одним логином?
Возможно вы не заметили, поэтому продублирую свой ответ:
Иван Славный писал(а):Мы посчитали, что данная настройка, с учетом настройки разрешённых диапазонов IP-адресов в свойствах пользователя, является избыточной и не несет более какой-либо полезной функции, а наоборот у большинства пользователей может вызвать неудобство при ее использовании.