Добрый день, коллеги! У клиента стоит 1С 7.7. "Логистика", доработанная его программистом под нужды его транспортной компании. Потребность клиента: провести двустороннюю интеграцию 1С с сайтом на Битриксе "Малый Бизнес". Оценив схему, предоставленную по ссылке http://www.1c-bitrix.ru/products/cms/1c/http://www.1c-bitrix.ru/products/cms/1c/ клиент заявил, что, по мнению его специалистов - системного администратора и программиста 1С - она является - цитирую - "крайне уязвимой, особенно в части запросов SQL". Речь идёт, сколь я понял, о возможности доступа злоумышленника к базам 1С - как третьих лиц, так и клиентов, способных. по мнению клиента, получить расширенный доступ посредством использования каких-то уязвимостей. Клиент просит предложить решения для максимального повышения безопасности такой интеграции, по возможности предоставить описание и документацию по вопросам этой безопасности. Мы в затруднении. Подскажите, пожалуйста, где найти материалы, документацию, и советы по безопасности интеграции?
Обмен односторонний, всегда инициатор обмена 1с. Если каким либо образом можно получить доступ к 1с, то это уже видимо ошибка на вашей стороне, такого быть не должно.
Сергей, хороший специалист по безопасности должен обосновать свою точку зрения. Если я говорю "логин admin небезопасен", то я привожу логи в тысячи попыток брутфорса ежедневно данного логина на никому не известных сайтах (с посещаемостью менее 50 человек в день), например. Вам следует запросить у клиента какой конкретно сценарий они считают потенциально опасным. Да, при обмене сайт-1с злоумышленник, получивший админский доступ к сайту может получить доступ ко всей информации, подлежащей обмену. Но пусть сперва попробуют такой доступ получить!!! А главное, он всё равно получит к ним доступ на сайте, даже без обмена, если это произойдёт (если беспокоит именно секретность, а не доступность/целостной данных).
+ обмен происходит через XML, соответственно данные, не подлежащие обмену на стороне 1С по прежнему в безопасности даже если на сайте хозяйничает злоумышленник.
Рекомендую так же предложить заказчику пообщаться со СПЕЦИАЛИСТАМИ ПО БЕЗОПАСНОСТИ 1С и 1С-Битрикс систем, а не доверяться системному администратору и 1с-программисту - это совсем другие специальности.
Большое спасибо за ответы! В Битрикс написали - ответили в том же духе, "пусть предоставят потенциально опасный сценарий - наши специалисты его оценят". По ходу развития ситуации, возможно, задам дополнительные вопросы.