Здравствуйте! Учусь на специальности Информационно-аналитические системы безопасности. Пришло время написания диплома и поскольку собираюсь работать с 1С, хочу написать на смежную тему связанную ИБ и 1С. Подскажите пожалуйста какую тему можно было бы взять или что/какие механизмы ИБ в 1С (или уязвимости) можно было бы рассмотреть в работе уровня дипломного проекта?

Если собираешься работать с 1С - владей хотя-бы базовой терминологией, ИБ в контескте 1С это ИнформационнаяБаза. Для файловой ИБ безопасность это фантастика, для клиент-сервера обеспечивается средствами СУБД, ОС и тем что "закрывает" клиента.... покурите тему "программный комплекс Аура" и подобные поделки.

По взломами имейте в виду пункт №4 правил https://forum.mista.ru/rules.php

(0) Вот зачем вам 1С с такой специальностью?
Сейчас, в этой сфере брешь огромная и заработки на высоте.
На одних только тендерах по аттестации можно в черной икре купаться.

(0) этим летом сидел в комиссии, принимали дипломные работы бакалавров и магистров, одна девочка написала работу на тему "Двухфакторная авторизация в 1С"

(3) Ну и каков результат?...

(4) Ну защитилась наверное.
Ну а хули нам, двухфакторнобезопасникам...

(4) результат на оценку "хорошо"

(3) а че такого?

(7) в каком смысле "чё такого"? Это пример дипломной работы по информационной безопасности в приложении к 1С

(8) даже интересно, какой воды можно было там налить на диплом.

(9) Видишь мировой океан? - а это только введение)

навеяло .... на бутылке кока колы на дне, надпись - не переворачивайте вверх дном )))

(1) Полная ерунда. Файловой гораздо проще создать в разы больше трудностей по взлому чем в скл. Хотя 1с и безопасность это защита для ленивого.

+(12) для =от

(12) если пользователь может зайти в файловую базу - значит у него есть полный доступ к файлу базы, он ее попросту может утащить. в чем тут безопасность?

(0) Заснифь и разбери протокол авторизации и последующего обмена данными, наметь вектора атаки, напиши работающий эксплойт, опиши комплекс мер противодействия.

(0) Выявление утечки информации путем поведенческого анализа работы пользователя.
Защита утечки файловой ИБ за счет использования IIS и apache.
Проблемы доменной авторизации со сложной структурой домена.

(0) Напиши про Маркировку: актуально, модно, молодежно.

(14) РДП публикация приложения чисто 1с без всего остального, отключаем дальнейший доступ в сеть и т.п. квоты на размер сохраняемых данных и т.д. Безопасность данных чисто средствами 1с не обеспечивается, это комплекс мер как программных так и административных. А скл особенно с виндовс авторизацией посмотреть или скопировать данные для спецов уровня Ёпрст 3 минуты времени.

(18) Скуль с виндовз-авторизацией для 1с? Это не ИБ. Это ИАБ.

Для начала. А что говорит 1с о безопасности?

https://its.1c.ru/db/metod8dev/content/5816/hdoc

+(20)
https://www.securitylab.ru/contest/262359.php

Что мы говорим богу смерти, когда храним в настройках сервера 1С пароль к логину SQL, пусть и в зашифрованном виде?

В мое время в требованиях к дипломному проекту было какое-то кол листов записки, штук 5-6 листов а0, прогрммма или техническое решение, экономическая часть, те эффект. А что в качестве своего ноу-хау представит ТС? Безопасность в продуктах уже решена. Описание вышеуказанных решений? Попытку взлома? Странно это все по теме безопасности. Имхо направление, высосанное из пальца. Сколько работал, ни разу не встречал сколько-нибудь серьезного подхода к проблеме. Админы, ещё куда ни шло. Это важно. А в приложениях?

(0) Найди пару RCE через веб клиент.
Убъешь двух зайцев: и защитишься без проблем, и в 1С на работу возьмут, по специальности. Даже трех, "работа с 1С" будет, как ты хочешь.

(23) >Безопасность в продуктах уже решена.

Лол.

(11) Может на крышке, а не на дне?

(22) А как этим хешем воспользоваться?

У моего одного клиента "авторизация в 1С" сделана по отпечатку пальца -)

безопасность в 1с - очень условное дело...

в прицепе в 1с есть почти все средства для обеспечения полноценной защиты данных, и почти все средства для обеспечения общей безопасности IT систем.

Но к сожалению все это по дефолту выключено и требует принудительной настройки которую никто не делает, даже я сам зная все эти дыры даже не пытаюсь их закрыть (причин на то много и это тема отдельная).

(27) Если бы это был хэш... Это - просто зашифрованная общеизвестным способом строка.

(22) это не самое страшное что есть в 1с в плане безопасности, на крайняк это грозит доступом к одной базе 1с (ибо не стоит использовать sa для 1с)

(0) Ну например,»Обеспечение безопасности информационных баз 1С при работе в режиме тонкого клиента через сеть Интернет».

Вот вам про безопасность в 1С: https://habr.com/ru/post/352566/

(30) Неа. Не расшифровывается. Т.е. способ шифрования неизвестен, либо известен, но там соль добавлена, не позволяющая расшифровать.

(34) А нафик ее расшифровывать вставь кусок в файл своей базы 1с и откорректируй контрольную сумму, что файл не битый.

(3) Хорошая тема.

(22) А где-то как-то по другому?

(32) Да норм решение.

Я все хочу попробовать сделать так, (но руки не доходят и особой нужды нет): Опубликовать ИБ на web-сервере, при этом сам web-сервер предоставлял доступ клиенту по сертификату. И шифрование в высшей степени и вокруг 1С создали доп. контур безопасности. А вот работу организовать через ТонкийКлиент.

(35) Для этого, как я понимаю, нужно либо иметь возможность (право) создавать базы в той же СУБД (доступ к которой хотим поиметь), либо уже иметь там свою какую-нибудь базу.
И поэтому для каждой базы нужно заводить своего отдельного пользователя в СУБД, креды которого и указывать в кластере 1С.
Или это все равно ни от чего не защитит?

(37) Некоторые любят заводить в СУБД логин для пользователя ОС, от имени которого работает служба сервера 1С (или рабочий процесс, если используем в кластере swpuser.ini).
Тогда при создании базы 1С в кластере никакие креды указывать не нужно - кластер будет аутентифицироваться в СУБД средствами ОС (от имени этого пользователя ОС).

В мире web все делают так: Хостинг провайдер выдает пару логин-пароль от субд клиенту. Клиент сохраняет их в конфигурационном файле своей говно-cms (их взламывают пачками, потому что никто ничего не обновляет).

И... ничего... никаких массовых взломов инфраструктуры хостинг-провайдеров нет.

(40) не уверен, что это безопасней. Но выглядит удобно.

(42) Именно: насрать в СУБД становится гораздо проще. По сравнению с предлагаемым в (35) не видно какой-то особой разницы, а телодвижений там даже больше, т.е. безопаснее :)