1С + Apache + SSL: почему вы должны использовать SSL (наглядная демонстрация)
Публикация 1С 8.3 на веб сервере IIS
Настройка веб-сервера Microsoft Internet Information Services (IIS) для работы с платформами 1С:Предприятие
На нашем сайте лучшие программисты 1С делятся своим опытом и разработками. Доступ к уникальному, самому полному хранилищу отчетов и обработок для 1С. Более 30 отчетов, обработок и компонент на одном сайте! Рассмотрим установку Apache на WindowsXP и публикацию файлового варианта базы на веб-сервер. Надо заметить, что при работе с веб-сервером рекомендуется использовать не файловый, а серверный вариант работы 1С: Каталог — любая папка. В ней будет один маленький конфигурационный файл. Чем короче к ней путь и чем меньше в нём пробелов, тем иногда бывает меньше глюков у апача. На этом обычно все и заканчивают. Однако, поскольку доступ осуществляется по http, через незащищенный канал, передаваемая информация, в т. Используя любой сниффер, можно отследить запрос к серверу, где клиент передает какие-то данные, сразу после того, как пользователь ввёл логин, пароль и нажал кнопку ОК. Однако явного пароля мы тут не видим. Так может какая-то защита от пароля всё-таки используется? В таком виде данные об авторизации и передаются на сервер. Не представляет трудности восстановить эту строку. К примеру, в 1С: Предприятие есть метод глобального контекста Base64Значение , есть немало и онлайн-сервисов. Воспользуемся одним из них, и получим timofeeva: Таким образом, мы убедились, что шифрование данных для авторизации не используется, и любой вредитель, имеющий возможность прослушивать траффик, может с лёгкостью узнать логин и пароль. Находим строку Listen 80, под ней дописываем Listen стандартный https порт. Отвечаем на вопросы, в принципе можно заполнять поля чем угодно — главное не забудьте пароль pass phrase. Создаем папку ssl в C: Вместо localhost надо вписать собственно адрес вашего сервера, по которому и будут идти обращения. Если этого не сделать, то клиент будет видеть странное сообщение об ошибке в firefox - "SSL получило запись, длина которой превышает максимально допустимую. И ещё большую странность ему будет добавлять то, что в разных браузерах будут разные сообщения. Находим параметр ImagePath, и добавляем к его значению ключ -D ssl. Открываем Apache Monitor из области уведомлений и нажимаем restart. Если все отлично, то в лог выведется Apache service has restarted. Если что-то не так, и apache не запускается, можно посмотреть подробности например номер строки с ошибкой в httpd. Заходим на сервер, для меня это https: Соглашаемся со всеми запросами, и наконец запускается 1С: Уберём букву s в адресной строке. Любой пользователь по прежнему может зайти через http. И все старания по обеспечению безопасности сошли на нет. Отключим полностью 80 порт, убрав или закомментировав добавив в начало строки строку Listen 80 в конфигурационном файле httpd. Отлично, теперь страница http: Теперь убедимся, что небезопасное http подключение, но к порту не работает тоже. Мы получили работающий веб-сервер Apache с опубликованной базой 1С. Доступ возможен только по безопасному протоколу https. Настройка https занимает не так много ресурсов, зато обеспечивает защиту от перехвата паролей. Тип файла Нет файла. Платформа Платформа 1С v8. Отрасль Не имеет значения. Налоги Не имеет значения. Вид учета Не имеет значения. Раздел учета Не имеет значения. Доступ к файлу Бесплатно free. Код открыт Не указано. Новости Публикации Вебинары Видео Вакансии Заказы на работу. Однако почти никто не обращает внимания на безопасность и не настраивает использование защищенного https протокола, а не http. В этой заметке описана пошаговая установка и настройка Apache, продемонстрирована лёгкость, с которой злоумышленник может узнать ваш пароль, если вы не используете https. Описана пошаговая настройка https для Apache. На нём установлена Платформа 8. На сервере должен быть доступен порт или какой-нибудь другой. На нём установлен тонкий клиент, или просто браузер. Установка Apache for Windows Скачиваем дистрибутив Apache 2. Запускаем нужны права администратора , next, соглашаемся с лицензионным соглашением, next. Прописываем что угодно, например localhost, localhost Выбираем Typical установку. Finish Проверяем работоспособность Apache. Публикация базы 1С на веб-сервер. Имя — то, что будет в адресной строке. Не будем голословны, убедимся. Извлекаем пароль Используя любой сниффер, можно отследить запрос к серверу, где клиент передает какие-то данные, сразу после того, как пользователь ввёл логин, пароль и нажал кнопку ОК. Изучим страницу авторизации под отладчиком. В строке файла loader. Поэтому переходим к следующему шагу и включаем поддеркжу SSL. Включение поддержки SSL в Apache Открываем файл httpd. Находим строку Listen 80, под ней дописываем Listen стандартный https порт Копируем файлы ssleay В командной строке переходим в папку bin апача: Выполняем openssl rsa -in privkey. Выполняем openssl x -in my-server. Идем в самый конец httpd. Записываем изменения и закрываем httpd. Проверим нашу работу Заходим на сервер, для меня это https: Всё работает, причем по ssl каналу. Исправляем недостатки Как известно, уровень безопасности системы равен наименее безопасному её элементу. Заключение Мы получили работающий веб-сервер Apache с опубликованной базой 1С. Как я начал администрировать сервер 1С: Создание пользователя СУБД MS SQL. Все, что надо знать о технологической платформе 1С: Зачем в 1С нужно периодически пересчитывать итоги по регистрам? LiteManager — удаленное администрирование. Описание, практика применения, рекомендации. Сжатие баз данных 1С: Предприятие в MS SQL Server. ОТ ТЕОРИИ К ПРАКТИКЕ. Не работают регламентные задания? Часто встречающиеся ошибки 1С и общие способы их решения. Реверс-инжиниринг документации платформы 1С 8. Технология обновления нетиповых конфигураций 1С: Предприятия 8 редакция Предприятие Бухгалтерия переход с редакции 2. Практика перевода информационной базы для работы в управляемом приложении. Ярлык на chdbfl на каждый рабочий стол в сети РИБ. Автоматическое обновление платформы на клиенте. Вознаграждение за ответ Сумма: Дата Дата Дата Рейтинг Древо Сохранить. Для web-сервисов такой же путь замены http на https? Сергей Галушин galuse Публикация web-сервисов осуществляется в том же окне администрирование - публикация на веб-сервере , и по умолчанию они все уже отмечены для публикации. Порт можно использовать любой. Сергей Вн EmpireSer Извините, но как же нагрузка на сервер? SSL шифрование ужасно нагружает сервер! Если не применять сетевые фильтры для защиты от ddos-а - сервер можно положить как бы "правильными" обращениями. Сейчас мировое сообщество ищет альтернативные пути передачи зашифрованных данных с меньшими нагрузками на сервер. Например, можно было бы использовать авторизацию по https, а все остальные данные передавать по http так работает ВКонтакт. Однако, как приложить тенденции мирового сообщества к 1С: Предприятию, я не знаю. Трактор Трактор Трактор А если организуется внутренний сайт для взаимодействия с клиентами как в 1С-Битрикс , то каждому клиенту настраивать VPN канал, пинать их админов а они "тяжко" пинаются, если они вообще есть. Как я представляю - будет ужас. Сходу - не нашёл. Зато увидел такие ещё технологии: Дай ссылку на описание решения Битрикса. Тут и SSL не приделаешь из-за нагрузки, и "облака" стоят денег не малых для небольших но шустрых организаций. Я тут подумал, что можно использовать комбинацию: Весь сайт, кроме 1 места, работает по http 2. Авторизацию получаем именно в месте работы SSL 3. А вот тут магия: Хеш-ключ знает лишь сервер и лишь браузер и ни какой его передачи. Ну это черновой вариант Если сказать точнее - то создать что-то на подобие шифровального прокси, но используя возможности самого веб сервера и AJAX-са в браузере. Казань Рустем Гумеров Rustig Я не по теме спросить хочу: Вот я не разбираюсь в вебсерверах, и меня мучают угрызения совести Хотел бы найти ответ на вопрос: Или все-таки происходит некоторое нишевание специализаций? Спасибо, интересная статья, очень подробное описание процесса, подключения к базе через http и настройки сервера apache, в начале по картинкам подумал дежавю, но нет.. Кирилл kirillkr kirillkr 26 Но для повышения самообразования, да и на повышение значимости у работодателя знать основы желательно. Там не так сложно, надо просто несколько раз попробовать. Но развернув 10 раз на линуксе я уверен, что мне не потребуются часы, чтобы развернуть его на винде. Программулькин Программулькин Damon Li damontut 7 Владимир Каракозов karakozov Решение не уникально, но поговорить об этом стоило. В очередной раз разворачивая Апач подсмотрю в эту публикацию. Было очень интересно прочитать статью, особенно про снифер! Лишних знаний не бывает, но знать всё - тоже невозможно. Спецы, которые знают ВСЁ почти - существуют, но это редкость. Обычно всё-таки разделение труда среди 1с-ников, хоть и небольшое, но есть. Что касается веб-сервера, то коллега прав, можно просто попробовать, ничего сложного нет. С налоговым учетом сложнее Большое спасибо теперь будет чего написать админам: Владимир Клименко KliMich Спасибо за подробную инструкцию. Конечно, как советует kirillkr, знать основы желательно Александр Кирилюк ArtfulCrom Что-то я не понял. Огромное спасибо за инструкцию! Навскидку, если есть соображения: С сервера по внешнему IP работает, а из интернета, почему-то, нет, тайм-аут превышен. С обеих машин захожу по адресу https: Работает и из интернета. Есть подозрение, что не так где-то в теге VirtualHost: Уникальная для 1С статься и с хорошими иллюстрациями. Спасибо, рано или поздно пригодится. Илья Едовин e-ilyich 7 Спасибо за статью, прямо в тему и вовремя. Ускорит ли работу 1с apache 64 бит? У меня один вопросик, возможно немного не по теме. Владимир Тритон tritonrc Большое спасибо за статью, очень пригодилось. Или тонкий клиент сам догадается сходить в хранилище сертификатов? Сергей Маслов LexSeIch Два в одном - настройка сервера и обеспечение безопасности. По статистике, компьютер с выходом в интернет подвергается атаке в первые же 30 секунд. Любой может посмотреть логи своего терминального сервера и увидеть неудачные попытки авторизации Статью взял на заметку. Сейчас при попытке подключения пишет такое: Ошибка HTTP при обращении к серверу: Александр Ярошенко teller При подключении по https тонким клиентом набор возможностей несколько ограничен: Если его нет в этом списке, тонкий клиент завершит свою работу, в отличие от браузера, который в этой ситуации предложит пользователю самостоятельно принять или отклонить сертификат, полученный от сервера то есть берем cert сгенеренный для apache,импортируем на рабочей станции тонкого клиента набираем в тонком клиенте строку соединения например https: Зарплата и управление персоналом, редакция 3. Все права защищены http: Кому нибудь удалось подключить тонкий клиент к https. Через веб работает а в режиме тонкого клиента не хочеть , md5 отпечаток добавил в cacert. Problem with the SSL CA cert path? Павел d0dger 78 Очень подробно и по делу. Евгений Чекушкин check2 20 Насколько я понял из статьи использование IIS вместо Apache не решает ситуации? Доброго времени суток коллеги! Кто смог подключить тонкий клиент через ssl поделитесь подробностями. Игорь Николаев rafaiil При настройке столкнулся с 2 проблемами: По первой проблеме оказалось что пароль вводится, но не отображается, а 2 проблема была связана с тем, что апач по умолчанию ставится в "C: Решил перестановкой в другую папку. В интернете есть другие решения данной проблемы. Алексей Кирин kirinalex Николай Степанов Tapochki-tmn 41 Уже не помню, просто Enter жал, кажется. Артем Моторин motorin Спасибо за статью, через браузер и через тонкий всё работает, а вот мобильное приложение Заказы не хочет, кто сталкивался, как решить? Спасибо, за детальную статью-инструкцию, всё работает. Но есть такой нюанс: Апач у меня запускается под системной учётной записью винды, соотв. Можете подсказать куда копать? Сэр A stinim Сергей Житников Nandarou У меня при запуске службы была ошибка что нет или пустой my-server. Переименовал файл в my-server. По стать берется установка Apache 2. С точки зрения безопасности можно сейчас использовать последние доступные версии Apache 2. Что-то не работает даже без ssl. Ребята есть два вопроса: Если доступ нужен руководителю в коммандировке, для него это лишний, непонятный гемор в сравнении например с решениями вроде smartsheet который просто берешь и открываешь. Aleks T Suxar Статья хорошая, узнал для себя полезные вещи, но "VPN-подключения апач проще в настройке " не очень корректно. На мой взгляд VPN настроить проще. Введите ваш пароль Забыли свой пароль? Код подтверждения из письма: Введите код подтверждения из письма. Оставьте заявку и в течение 24 часов с Вами свяжется менеджер и вышлет подбор обработок или программных продуктов 1С по вашим требованиям. Отраслевые решения Бухгалтерия Производство Услуги и сервис Торговля Прочее Отчеты Анализ учета Бухгалтерские Налоговые Специальные Статистические Управленческие Финансовые Разное Обработки Закрытие периода Менеджеры внешних отчетов 53 Обработка документов Обработка справочников Рабочее место Свертка базы Универсальные обработки Ценообразование, прайсы Управление Бизнес-процессы Интеграция 43 Личная эффективность 17 Пользователю системы Практика учета Теория учета Техническое задание 44 Управление проектом Обмен Email рассылки SMS рассылки 96 Загрузка и выгрузка в Excel Интеграция с WEB Обмен с другими системами Обмен с интернет-банком Обмен через DBF Обмен через XML Перенос данных из 1C8 в 1C8 Перенос данных из 1С7. Администрирование Архивирование backup Журнал регистрации Защита, права, пароли Оптимизация БД HighLoad Поиск данных Распределенная БД УРИБ, УРБД Сервисные утилиты Системное Стартеры 1С 75 Статистика базы данных Тестирование и исправление Чистка базы Программирование Инструментарий Внешние компоненты Защита и шифрование 68 Мобильные приложения Ошибки в отраслевых решениях 28 Практика программирования Работа с интерфейсом Сертификация Теория программирования Универсальные функции Печать Классификаторы 55 Пакетная печать Печатные формы документов Регламентированная отчетность Справки Статистики 80 Универсальные печатные формы Ценники Оборудование POS терминал 36 Весы 56 ККМ Ридер магнитных карт 11 Сканер штрих-кода Телефония, SIP 41 Терминал сбора данных 86 Фискальный регистратор 82 Сообщество Архив Игры Инфостарт Люди 22 О жизни Поздравления Сергей Галушин galuse Рейтинг:
Стихи про спартак
Физические нормативы по нвп в казахстане скачать
Пакетный файл bat
Аквариум стаканы текст
Где можно заправить бытовой газовый баллон
Месячные после зачатия когда делать тест
Like a stone перевод
Понятие предмет метод система
История любви ру
Погибшие во 2 мировой войне списки
Стихи просто загадка
Какая сейчас погода в паттайе отзывы 2017
Должностная инструкция руководителя работ
Говядина запеченная в горчице в фольге
Понятие социализации факторы социализации личности