Živě.cz

Zdravím, máme ekonomický software napsaný v trochu již starším vývojovém prostředí - Centura, dříve Gupta.
Náš zákazník přišel na to, že v souboru výpisu (ze správce úloh) lze najít viditelné heslo k připojení do databáze. Docela těžko ho přesvědčujeme, že Microsoft dal tímto nástrojem uživatelům do ruky dosti silný hackerský nástroj. Těžko ovlivníme to, jak si program uchovává data proměnných v paměti, to bychom náš systém museli snad psát v assembleru. Navíc víme o spoustě komerčních programů, kde si lze v souboru výpisu heslo také dohledat. Zkoušíme jít cestou, zda by nešlo uživateli zakázat nějakým nastavením soubor výpisu přímo pořizovat. Nemáte někdo s tímto zkušenosti ? Díky,

Co je to přesně za výpis?

Je to soubor s příponou .DMP, jsou to nějaká binární data. Tvoří se v temp adresáři, v mém případě má soubor cca 140 MB. Jestli to má sloužit k nějakým diagnostickým účelům, tak na to asi bude nějaký prohlížecí program. Nicméně stačí otevřít v Total commanderu pomocí F3 a hned člověk vidí fragmenty textu (proměnné, message atd...) a ve finále bohužel v plaintextu i ty hesla.

Aha, to je výpis obsahu paměti obsazené tím programem. Není dost dobře možné, aby se tam to heslo nikdy neobjevilo, ale držet ho tam v nezašifrované podobě po celou dobu běhu programu, se v dnešní době už opravdu požaduje za chybu.

Fatální bezpečnostní chyba (resp. jedna z mnoha) výrobce sw:

georg68 píše:Centura, dříve Gupta

Typické nejen pro starší databázové a ekonomické systémy.
Co s tím?
A/ Standardní řešení:
požádat výrobce o neprodlené odstranění chyby.
B/ Zásadní řešení:
nepoužívat takový pochybný sw a migrovat do moderního systému.

Pokud má soubor pokaždé stejné jméno, tak by mohlo zabrat vytvoření adresáře se stejným jménem (i rozšířením!) a attributy ke čtení a systémový. Není totiž možné někde vytvořit soubor stejného jména, jako má existující adresář. Možná na to program skočí a nebude ten soubor vytvářet, ale také možná změní jméno, nebo zahlásí chybu. Za pokus nic nedáš, tak to vyzkoušej (pro Milanra: U pár programů to fungovalo)

Bohužel on si ty soubory čísluje pořád pryč. Až už najde soubor stejného jména nebo adresář. Ale všimnul jsem si jedné zvláštní věci - mezi programy ve správci úloh jsou takové, které neumožňují dump vytvořit (menu je zašedlé). Například chrome prohlížeč, Forti Client VPN, Microsoft Teams... Co to ale ovlivňuje , netuším...

georg68 píše:Ale všimnul jsem si jedné zvláštní věci - mezi programy ve správci úloh jsou takové, které neumožňují dump vytvořit (menu je zašedlé). Například chrome prohlížeč, Forti Client VPN, Microsoft Teams... Co to ale ovlivňuje , netuším...

IMHO to jsou programy, které běží ve více procesech naráz (ve Správci úloh je za takovýmto programem uveden jejich počet v závorce). Stačí rozkliknout a dumpy jednotlivých procesů lze bez problému udělat.