[BugWrong]
В CfgExtHosts не всегда записывается Хэш, иногда пароль plain text
Автор |
Повідомлення |
Повідомлення створено: 28. 12. 2020 [09:30]
|
IgorIVS
Игорь Шерстобитов
Автор теми
Зареєстрован(а) с: 12.03.2020
Повідомлення: 15
|
Добрый день!
Обнаружил, что иногда, вместо хэша пароля в таблицу CfgExtHosts записывается пароль открытым текстом.
версия 1+r2722
Конфигурация: Резервируемые станции Core1 и Core2 - уровень логической обработки, архивирование и визуализация. Получают первичные данные через DAQGate со станций Grab1 и Grab2 (также взаимно резервируемых).
Изменяю конфигурацию внешних хостов в транспортах (пользователь, пароль).
Вариант, когда "Передача локальных первичных команд" отключена:
При изменении на станции Core1 имени и пароля к станции Core2, в БД записывается хэш пароля (phash://......)
При изменении на станции Core1 имени и пароля к самой себе, в БД записывается пароль открытым текстом
Аналогичная ситуация на Core2, когда меняется пользователь и пароль в записи Core2, также записывается открытый текст.
Вариант, когда "Передача локальных первичных команд" включена:
При изменении на станции Core1 имени и пароля к станции Core2, в БД Core1 записывается хэш пароля (phash://......), а в БД Core2 - открытым текстом.
Также наблюдается ситуация, когда в основной записи пишется хэш, а в автоматически создаваемых (OP_USER==*) записывается открытый текст.
На скриншотах изменения пользователя root на пользователей user1 и user2. Начальная конфигурация, когда все пользователи root и везде указан хэш получена прямым редактированием БД
В архиве скриншоты последовательных изменений Транспорты.Внешние хосты и соответствующие им содержание таблицы CfgExtHosts. Архив разбит на 2 файла меньше 1Мб
PS
БД Core1 и Core2 - PostgreSQL
[Повідомлення редагувалось 1 раз(ів), останній раз 28.12.2020 в 10:15.]
Вкладений файл
Core1-2-2.JPG (Тип файлу: image/jpeg, Розмір: 217.19 кілобайтів) — 1334 завантажень
Core1-3-2.JPG (Тип файлу: image/jpeg, Розмір: 203.93 кілобайтів) — 1342 завантажень
Core2-4-2.JPG (Тип файлу: image/jpeg, Розмір: 198.11 кілобайтів) — 1343 завантажень
phash.zip (Тип файлу: application/x-zip-compressed, Розмір: 373.87 кілобайтів) — 1318 завантажень
phash.z01 (Тип файлу: application/octet-stream, Розмір: 921.6 кілобайтів) — 1383 завантажень
|
Повідомлення створено: 28. 12. 2020 [10:34]
|
roman
Roman Savochenko
Moderator Contributor Developer
Зареєстрован(а) с: 12.12.2007
Повідомлення: 3750
|
Не ошибка, поскольку таблица внешних узлов OpenSCADA вообще не предусматривает работу через резервирование и формируется до его включения, инструкцию по резервированию читайте!
Темболее хеш пароля, который передаётся по внутренним интерфейсам только после использования подключения, по факту от узла к которому подключается.
Learn, learn and learn better than work, work and work.
|
Повідомлення створено: 28. 12. 2020 [11:07]
|
IgorIVS
Игорь Шерстобитов
Автор теми
Зареєстрован(а) с: 12.03.2020
Повідомлення: 15
|
Инструкцию читал, "Настройка резервирования начинается с добавления резервных станций в список станций OpenSCADA на вкладке "Подсистема" подсистемы "Транспорты" (Рис.4.3b). Причём, добавлять тут нужно не только резервные станции к текущей, но и саму эту текущую станцию с её внешним адресом, т.е. своеобразная петля."
Проверил еще раз (резервирование отключено, заново добавляю внешние хосты) - при создании записи на саму себя, в БД пароль записывается открытым текстом.
|
Повідомлення створено: 28. 12. 2020 [11:20]
|
roman
Roman Savochenko
Moderator Contributor Developer
Зареєстрован(а) с: 12.12.2007
Повідомлення: 3750
|
"IgorIVS" wrote:
Проверил еще раз (резервирование отключено, заново добавляю внешние хосты) - при создании записи на саму себя, в БД пароль записывается открытым текстом.
Что непонятного написано тут?
Темболее хеш пароля, который передаётся по внутренним интерфейсам только после использования подключения, по факту от узла к которому подключается.
Learn, learn and learn better than work, work and work.
|
Повідомлення створено: 28. 12. 2020 [11:42]
|
IgorIVS
Игорь Шерстобитов
Автор теми
Зареєстрован(а) с: 12.03.2020
Повідомлення: 15
|
"roman" wrote:
Что непонятного написано тут?
Непонятно почему при добавлении внешних станций в БД пишется хэш, а при добавлении "петли" пишется в открытом виде.
Это не зависит от настроек резервирования, в новом "чистом" проекте из одной станции при создании записи саму на себя - открытый пароль.
С точки зрения безопасности - это неправильно.
Также при авторизации в Web и QT интерфейсе вместо пароля можно ввести хэш пароля, что дает возможность авторизации только зная хэш, но не зная пароль.
[Повідомлення редагувалось 1 раз(ів), останній раз 28.12.2020 в 12:22.]
|
Повідомлення створено: 28. 12. 2020 [12:51]
|
roman
Roman Savochenko
Moderator Contributor Developer
Зареєстрован(а) с: 12.12.2007
Повідомлення: 3750
|
"IgorIVS" wrote:
Также при авторизации в Web и QT интерфейсе вместо пароля можно ввести хэш пароля, что дает возможность авторизации только зная хэш, но не зная пароль.
Да, войти можно, зная префикс, что исправил.
Однако с данным вопросом это не связано!
Learn, learn and learn better than work, work and work.
|
|
|