[BugWrong]
В CfgExtHosts не всегда записывается Хэш, иногда пароль plain text
Author |
Message |
Written on: 28. 12. 2020 [09:30]
|
IgorIVS
Игорь Шерстобитов
Topic creator
registered since: 12.03.2020
Posts: 15
|
Добрый день!
Обнаружил, что иногда, вместо хэша пароля в таблицу CfgExtHosts записывается пароль открытым текстом.
версия 1+r2722
Конфигурация: Резервируемые станции Core1 и Core2 - уровень логической обработки, архивирование и визуализация. Получают первичные данные через DAQGate со станций Grab1 и Grab2 (также взаимно резервируемых).
Изменяю конфигурацию внешних хостов в транспортах (пользователь, пароль).
Вариант, когда "Передача локальных первичных команд" отключена:
При изменении на станции Core1 имени и пароля к станции Core2, в БД записывается хэш пароля (phash://......)
При изменении на станции Core1 имени и пароля к самой себе, в БД записывается пароль открытым текстом
Аналогичная ситуация на Core2, когда меняется пользователь и пароль в записи Core2, также записывается открытый текст.
Вариант, когда "Передача локальных первичных команд" включена:
При изменении на станции Core1 имени и пароля к станции Core2, в БД Core1 записывается хэш пароля (phash://......), а в БД Core2 - открытым текстом.
Также наблюдается ситуация, когда в основной записи пишется хэш, а в автоматически создаваемых (OP_USER==*) записывается открытый текст.
На скриншотах изменения пользователя root на пользователей user1 и user2. Начальная конфигурация, когда все пользователи root и везде указан хэш получена прямым редактированием БД
В архиве скриншоты последовательных изменений Транспорты.Внешние хосты и соответствующие им содержание таблицы CfgExtHosts. Архив разбит на 2 файла меньше 1Мб
PS
БД Core1 и Core2 - PostgreSQL
[This article was edited 1 times, at last 28.12.2020 at 10:15.]
Attachment
Core1-2-2.JPG (File type: image/jpeg, Size: 217.19 kilobytes) — 1339 downloads
Core1-3-2.JPG (File type: image/jpeg, Size: 203.93 kilobytes) — 1346 downloads
Core2-4-2.JPG (File type: image/jpeg, Size: 198.11 kilobytes) — 1347 downloads
phash.zip (File type: application/x-zip-compressed, Size: 373.87 kilobytes) — 1321 downloads
phash.z01 (File type: application/octet-stream, Size: 921.6 kilobytes) — 1387 downloads
|
Written on: 28. 12. 2020 [10:34]
|
roman
Roman Savochenko
Moderator Contributor Developer
registered since: 12.12.2007
Posts: 3750
|
Не ошибка, поскольку таблица внешних узлов OpenSCADA вообще не предусматривает работу через резервирование и формируется до его включения, инструкцию по резервированию читайте!
Темболее хеш пароля, который передаётся по внутренним интерфейсам только после использования подключения, по факту от узла к которому подключается.
Learn, learn and learn better than work, work and work.
|
Written on: 28. 12. 2020 [11:07]
|
IgorIVS
Игорь Шерстобитов
Topic creator
registered since: 12.03.2020
Posts: 15
|
Инструкцию читал, "Настройка резервирования начинается с добавления резервных станций в список станций OpenSCADA на вкладке "Подсистема" подсистемы "Транспорты" (Рис.4.3b). Причём, добавлять тут нужно не только резервные станции к текущей, но и саму эту текущую станцию с её внешним адресом, т.е. своеобразная петля."
Проверил еще раз (резервирование отключено, заново добавляю внешние хосты) - при создании записи на саму себя, в БД пароль записывается открытым текстом.
|
Written on: 28. 12. 2020 [11:20]
|
roman
Roman Savochenko
Moderator Contributor Developer
registered since: 12.12.2007
Posts: 3750
|
"IgorIVS" wrote:
Проверил еще раз (резервирование отключено, заново добавляю внешние хосты) - при создании записи на саму себя, в БД пароль записывается открытым текстом.
Что непонятного написано тут?
Темболее хеш пароля, который передаётся по внутренним интерфейсам только после использования подключения, по факту от узла к которому подключается.
Learn, learn and learn better than work, work and work.
|
Written on: 28. 12. 2020 [11:42]
|
IgorIVS
Игорь Шерстобитов
Topic creator
registered since: 12.03.2020
Posts: 15
|
"roman" wrote:
Что непонятного написано тут?
Непонятно почему при добавлении внешних станций в БД пишется хэш, а при добавлении "петли" пишется в открытом виде.
Это не зависит от настроек резервирования, в новом "чистом" проекте из одной станции при создании записи саму на себя - открытый пароль.
С точки зрения безопасности - это неправильно.
Также при авторизации в Web и QT интерфейсе вместо пароля можно ввести хэш пароля, что дает возможность авторизации только зная хэш, но не зная пароль.
[This article was edited 1 times, at last 28.12.2020 at 12:22.]
|
Written on: 28. 12. 2020 [12:51]
|
roman
Roman Savochenko
Moderator Contributor Developer
registered since: 12.12.2007
Posts: 3750
|
"IgorIVS" wrote:
Также при авторизации в Web и QT интерфейсе вместо пароля можно ввести хэш пароля, что дает возможность авторизации только зная хэш, но не зная пароль.
Да, войти можно, зная префикс, что исправил.
Однако с данным вопросом это не связано!
Learn, learn and learn better than work, work and work.
|
|
|