УкраїнськаEnglishmRussian
Вхід/Новий
У темі немає нових постів

[BugWrong] В CfgExtHosts не всегда записывается Хэш, иногда пароль plain text


Автор Повідомлення
Повідомлення створено: 28. 12. 2020 [09:30]
IgorIVS
Игорь Шерстобитов
Автор теми
Зареєстрован(а) с: 12.03.2020
Повідомлення: 15
Добрый день!
Обнаружил, что иногда, вместо хэша пароля в таблицу CfgExtHosts записывается пароль открытым текстом.
версия 1+r2722
Конфигурация: Резервируемые станции Core1 и Core2 - уровень логической обработки, архивирование и визуализация. Получают первичные данные через DAQGate со станций Grab1 и Grab2 (также взаимно резервируемых).
Изменяю конфигурацию внешних хостов в транспортах (пользователь, пароль).
Вариант, когда "Передача локальных первичных команд" отключена:
При изменении на станции Core1 имени и пароля к станции Core2, в БД записывается хэш пароля (phash://......)
При изменении на станции Core1 имени и пароля к самой себе, в БД записывается пароль открытым текстом
Аналогичная ситуация на Core2, когда меняется пользователь и пароль в записи Core2, также записывается открытый текст.

Вариант, когда "Передача локальных первичных команд" включена:
При изменении на станции Core1 имени и пароля к станции Core2, в БД Core1 записывается хэш пароля (phash://......), а в БД Core2 - открытым текстом.

Также наблюдается ситуация, когда в основной записи пишется хэш, а в автоматически создаваемых (OP_USER==*) записывается открытый текст.

На скриншотах изменения пользователя root на пользователей user1 и user2. Начальная конфигурация, когда все пользователи root и везде указан хэш получена прямым редактированием БД
В архиве скриншоты последовательных изменений Транспорты.Внешние хосты и соответствующие им содержание таблицы CfgExtHosts. Архив разбит на 2 файла меньше 1Мб
PS
БД Core1 и Core2 - PostgreSQL

[Повідомлення редагувалось 1 раз(ів), останній раз 28.12.2020 в 10:15.]
Вкладений файл

Core1-2-2.JPG (Тип файлу: image/jpeg, Розмір: 217.19 кілобайтів) — 1337 завантажень
Core1-3-2.JPG (Тип файлу: image/jpeg, Розмір: 203.93 кілобайтів) — 1344 завантажень
Core2-4-2.JPG (Тип файлу: image/jpeg, Розмір: 198.11 кілобайтів) — 1346 завантажень
phash.zip (Тип файлу: application/x-zip-compressed, Розмір: 373.87 кілобайтів) — 1319 завантажень
phash.z01 (Тип файлу: application/octet-stream, Розмір: 921.6 кілобайтів) — 1385 завантажень
Повідомлення створено: 28. 12. 2020 [10:34]
roman
Roman Savochenko
Moderator
Contributor
Developer
Зареєстрован(а) с: 12.12.2007
Повідомлення: 3750
Не ошибка, поскольку таблица внешних узлов OpenSCADA вообще не предусматривает работу через резервирование и формируется до его включения, инструкцию по резервированию читайте!

Темболее хеш пароля, который передаётся по внутренним интерфейсам только после использования подключения, по факту от узла к которому подключается.

Learn, learn and learn better than work, work and work.
Повідомлення створено: 28. 12. 2020 [11:07]
IgorIVS
Игорь Шерстобитов
Автор теми
Зареєстрован(а) с: 12.03.2020
Повідомлення: 15
Инструкцию читал, "Настройка резервирования начинается с добавления резервных станций в список станций OpenSCADA на вкладке "Подсистема" подсистемы "Транспорты" (Рис.4.3b). Причём, добавлять тут нужно не только резервные станции к текущей, но и саму эту текущую станцию с её внешним адресом, т.е. своеобразная петля."
Проверил еще раз (резервирование отключено, заново добавляю внешние хосты) - при создании записи на саму себя, в БД пароль записывается открытым текстом.
Повідомлення створено: 28. 12. 2020 [11:20]
roman
Roman Savochenko
Moderator
Contributor
Developer
Зареєстрован(а) с: 12.12.2007
Повідомлення: 3750
"IgorIVS" wrote:

Проверил еще раз (резервирование отключено, заново добавляю внешние хосты) - при создании записи на саму себя, в БД пароль записывается открытым текстом.

Что непонятного написано тут?
Темболее хеш пароля, который передаётся по внутренним интерфейсам только после использования подключения, по факту от узла к которому подключается.


Learn, learn and learn better than work, work and work.
Повідомлення створено: 28. 12. 2020 [11:42]
IgorIVS
Игорь Шерстобитов
Автор теми
Зареєстрован(а) с: 12.03.2020
Повідомлення: 15
"roman" wrote:

Что непонятного написано тут?

Непонятно почему при добавлении внешних станций в БД пишется хэш, а при добавлении "петли" пишется в открытом виде.
Это не зависит от настроек резервирования, в новом "чистом" проекте из одной станции при создании записи саму на себя - открытый пароль.
С точки зрения безопасности - это неправильно.

Также при авторизации в Web и QT интерфейсе вместо пароля можно ввести хэш пароля, что дает возможность авторизации только зная хэш, но не зная пароль.

[Повідомлення редагувалось 1 раз(ів), останній раз 28.12.2020 в 12:22.]
Повідомлення створено: 28. 12. 2020 [12:51]
roman
Roman Savochenko
Moderator
Contributor
Developer
Зареєстрован(а) с: 12.12.2007
Повідомлення: 3750
"IgorIVS" wrote:

Также при авторизации в Web и QT интерфейсе вместо пароля можно ввести хэш пароля, что дает возможность авторизации только зная хэш, но не зная пароль.

Да, войти можно, зная префикс, что исправил.

Однако с данным вопросом это не связано!

Learn, learn and learn better than work, work and work.



16256