РЭДЛАЙН
Лучшие решения для Вас и Вашего бизнеса!
На нашем сайте вы можете получить информацию о веб-разработке, обслуживании и продвижении сайта. Интернет-маркетинге. SEO (поисковой оптимизации). Контекстной и медийной рекламе в Интернете. SMM. Регистрации доменов и хостинговых услугах. И современном дизайне сайтов. Вообщем того что касается веб-разработки, а также много другой полезной информации из мира интернета, бизнеса и интернет-технологий...
Создаем доступные и современные сайты, которые работают! Обслуживаем и эффективно продвигаем интернет-проекты с 2006 года!
Главная Базы данных Защита баз mdb


Защита баз mdb

Итак, как защитить?
Опытный акцессист ответит сразу - никак. И будет прав.
Почти. От него защиты нет, а от менее опытных - есть.
Другой опытный скажет: об этом все известно. И то же будет прав. Почти.
Кое-что новенькое есть.

Вступление. Проблем защиты еще нет.


Обычная ситуация: Вы взялись сделать базу данных быстро, дешево и качественно. Хотя, как известно, это невозможно. Звездный программист может решить одновременно только две задачи. Хороший - одну. Но Вы взялись...
Проблем защиты - нет. На трех компах будут работать женщины, еще не видевшие access, а еще на одном - шеф, то же его не знающий. В общем, все в порядке.

Вы скоростным способом за ... недель создаете базу.
Конечно, ставите автозапуск базы с помощью макро autoexec или указанием первой формы. Кстати, autoexec - более универсально. Вы можете запустить программу, которая не только откроет первую форму, но и может сделать разные настроечные операции.
Далее ставите базу на компы, и начинаете борьбу с недовольными женщинами, не знающими как, а главное зачем, вводить данные, которые у них и так уже где-то есть. И с собственными ошибками, которые имеют свойство вылезать в самый неподходящий момент.
Но проходит некоторое время, и этот период заканчивается. Пользователи и шеф видят первые результаты, ошибки почти перестают выскакивать... Женщины уже просят для себя изменить надписи, шрифты, цвета.
И Вы у них на глазах это делаете с чувством взаимной радости. У шефа появляются новые пожелания, и Вы развиваете задачу дальше.
И вдруг... И вдруг вас вызывают, и вы видите искореженную форму (варианты: испорченный модуль, удаленную таблицу и т.д.). Конечно это хорошо, так как это значит, что женщины полюбили вашу задачу, хотят в ней разобраться и кое-что улучшить. Это также значит, что пользователи из начинающих юзеров перешли в разряд любопытных. Но у вас появилась головная боль - ведь шеф винит вас за все сбои задачи. Ведь вы программист - с вас и спрос. Теперь вы отчетливо чувствуете, что сидите на бочке с порохом. Хотите вы или не хотите, но вас появилась задача:

Защита от любопытного юзера.


Конечно, хочется решить эту задачу просто и быстро. Например, вообще спрятать окно access со всеми его вредными кнопками. Как это сделать? - такой вопрос задавался неоднократно.

Итак, решение 1. Спрятать окно access.



Отвечая на вопрос "Как?", Юрий Прус дал полное открытое описание этого решения в статье "Запуск приложения без окна access и отключение кнопки закрытия окна access"
(http://hiprog.com/access/article.asp?id=28).

Представим, что вы это сделали. И тут же оказывается, что вместе с вредными кнопками исчезли и вполне полезные типа: копировать, вставить, сортировать, фильтровать, найти... К которым ваши женщины привыкли от word и excel. Их теперь что - вешать на формы? Или учить женщин выполнять их с клавиатуры? То и другое весьма накладно. К тому же теперь нельзя просто свернуть задачу, а на больших мониторах нельзя сдвинуть в сторону все формы сразу - нужно поштучно. При этом все формы необходимо стали всплывающими. А программирование таких форм имеет свои неприятные особенности. Например, больше не работают события "Включение" и "Отключение" (activate, deactivate).
Подводя итоги, можно сказать, что это "простое и быстрое" решение влечет за собой достаточно длинные и неприятные последствия. Так что не будем прятать окно access. Давайте спрячем "вредные" кнопки.

Решение 2. Спрятать "вредные" кнопки.



Вредные это те, которые дают доступ к окну базы данных и переводят объекты в режим конструктора.
Итак, окно базы данных. Прежде всего надо позаботиться об выключении клавиши shift, останавливающей запуск программы и тем самым дающей доступ к окну базы данных. Затем отключить горячие клавиши вызова окна базы данных (ctrl+f1, f11). И, наконец, заменить стандартные панели инструментов на свои.
Как это сделать описано и в help, и почти в любой книжке по access, и в оригинальных разработках.
Примеры: "Защита от shift" (http://hiprog.com/access/article.asp?id=128)
"Защита от shift-а" (http://nsa.chat.ru/userinterfase_sas_shift.html).
Надо отметить, что во второй статье дается много больше, чем просто защита от shift-а.
Заменив панели инструментов на свои, вы почти решили и вторую задачу - запрет вызова конструкторов.
Почти - потому, что часто забывают отключить вызов контекстного меню в формах правой клавишей мыши. А оно дает возможность перейти в режим конструктора. Для отключения вызова следует установить в формах в состояние "нет" свойство "Контекстные меню" (shortcutmenu = no).
Выполнив эту более кропотливую работу, вы, наконец, облегченно вздыхаете. Любопытный юзер больше ничего не испортит, а все полезные кнопки есть. Это действительно так. Но...
Но опять выскочила ваша ошибка. У юзера. Вы смотрите на сообщение access, и ничего не можете сделать. Ни посмотреть состояние таблиц, ни значений переменных, ни ... Вы же сами все запретили.
И этот запрет теперь бьет по вам. Ничего сделать на месте больше нельзя. Придется сначала расспрашивать, что делал юзер перед этим, потом идти к своему открытому варианту базы и пытаться имитировать последовательность действий, вызвавших ошибку. Обычно это удается. Реже - нет, потому что юзер рассказал не то или не все. Но бывает гораздо хуже. У юзера ошибка редко, но появляется, а у вас - нет. Общая схема появления такой ошибки: возникает она при редком сочетании данных в момент их изменения. После сброса ошибки хитрый access поправляет сбой в данных. И вы ее не видите. Самому построить это сочетание данных трудно из-за ее редкости. Как бороться с такой ошибкой? Хорошо бы все-таки провести ее анализ прямо на месте. И не расспрашивая юзера.
Но сделать это не дает выбранная система защиты. А можно ли сделать такую защиту, что бы любопытный юзер никуда влезть не мог, а вы в тот же момент - могли? Ответ - да!

Решение 3. Следящая система. Вот это и есть новое.



Снова у вас полностью не защищенная база. Юзер сделал какое-то вредное действие: вызвал окно базы данных, перевел форму в режим конструктора, открыл окно отладки ... А ведь это можно определить программным способом и схватить юзера за руку! И не дать ему ничего сделать.
А если у компьютера сидите вы, то вы программе скажете -"это я!". И она должна снять всю защиту.
Дальше вы разбираетесь в ошибке, исправляете и т.д. Затем вы перегружаете базу и защита снова автоматически включается. В этом общая идея следящей системы.

Теперь техника исполнения. Защиту от shift-а конечно нужно поставить - следящую систему надо запустить. Следящую систему (программу определения типа активного окна) следует вызывать по таймеру. Текст программы дается ниже. Программа работает очень быстро. Даже при интервале таймера в 0,01 сек. процессор практически не загружается. Из практики (первый вариант программы был написан в 1998 г.) достаточен интервал таймера в 2 сек. Юзер за это время ничего плохого сделать не успевает. В случае обнаружения вредного окна надо открыть защитную форму.
Пример защитной формы можно взять по адресу: http://nsa.chat.ru/secur_formnoenter.html
К этому примеру два замечания: не обязательно форму раскрывать на весь экран монитора - достаточно сделать ее монопольной. И второе: снять в ней возможность вызова контекстного меню. В данном конкретном примере это не мешает, но при его модификации возможность вызова может оказаться дырой в защите.

Запуск по таймеру лучше всего делать из скрытой формы, открываемой первой и всегда загруженной.
Эту же форму я использую для хранения общих переменных. Есть два преимущества по сравнению с использованием public переменных в общем модуле: они не сбрасываются при reset, что облегчает отладку, и могут прямо использоваться в запросах как параметры отбора.
Если юзер попытается сделать эту форму видимой (у нас же есть все стандартные меню), то следует в форме на событие активизации поставить вызов все той же защитной формы при условии, что timerinterval > 0.
Теперь почти все. Остается сделать в защитной форме секретный вход для себя. Это можно выполнить многими способами. Например, кликом какой-нибудь кнопки мыши с одновременным нажатием комбинации клавиш shift, ctrl, alt. Можно снимать защиту при последовательной комбинации таких кликов.
Можно реагировать и на ввод символов с клавиатуры. В общем, это дело вкуса.
Само снятие защиты сводится к обнулению интервала таймера (отключение следящей системы) и закрытию защитной формы. Теперь и первая (скрытая) форма становится доступной.

Функция определения типа активного окна. Приводится версия для А-97.
Выход: = true, если окно вредное, и false в противном случае.

--------------------------------------------------------------------------------

public function rpprotect() as boolean
static s as string, n as long, typewindow as long

on error resume next
err.clear

n = screen.application.currentobjecttype
if err > 0 then exit function 'на всякий случай
s = screen.application.currentobjectname

'тип не определен или диалоговая форма
if n = -1 then exit function

'Тип определен
typewindow = n
n = syscmd(acsyscmdgetobjectstate, typewindow, s)
if n = 0 then goto truend 'объект не открыт - окно базы

select case typewindow
case actable, acquery, acmacro, acmodule
goto truend 'доступ всегда запрещен
case acform
s = screen.activeform.name
if err > 0 then goto truend 'форма в окне базы данных
if forms(s).currentview = 0 then goto truend 'форма в конструкторе
case acreport
s = screen.activereport.name
if err > 0 then goto truend 'отчет в окне базы данных
n = reports(s).hasdata
if err > 0 then goto truend 'отчет в конструкторе
end select
exit function

truend:
rpprotect = true
end function


--------------------------------------------------------------------------------



Для А-2000 функция посложнее.

Практика применения следящей системы показывает, что юзер быстро и хорошо запоминает то, что делать не нужно. И не делает. Последнее замечание. Система вовсе не отменяет использования своих панелей инструментов. Они могут быть какими угодно.

О защите от любопытного юзера сказано все. И, будем считать, она сделана. Бочка с порохом убрана.
Однако разовьем ситуацию дальше. В вашу фирму приходит новый сотрудник, и через некоторое время просит у вас объяснения, почему вы функцию такую-то в таком-то модуле написали так, а не иначе.
Справившись со своим удивлением, вы понимаете, что перед вами не юзер, а, как минимум, ламер (начинающий программист). И он снял вашу защиту. Теперь перед вами возникает новая задача:

Защита от ламера.


Как же ламер снял вашу защиту? Вообще-то, есть много способов. Так как эта статья не ставит целью описание методов взлома баз access, то изложу простейший и самый известный.
Все три метода защиты, указанные выше, имеют в своей основе защиту от shift-а. Если ее снять, то доступ к базе свободен. Простейшим методом снятия защиты от shift-а, не требующим программирования, является импорт базы. То есть ламер создает пустую базу и стандартной операцией access импортирует в нее вашу базу. При импорте переписываются не все свойства базы. В частности, не переписывается свойство allowbypasskey, управляющее защитой от shift-а. Полученная база ничем не защищена.
Так как во время импорта никакие ваши программы не работают, то защититься от него можно только средствами самого access. Они имеются. Это создание собственного файла рабочих групп, создание групп пользователей, назначение им прав доступа, паролированный вход для каждого юзера и т.д.
Все это многократно описано в книгах по access и излагать их содержание не имеет смысла.
Можно только рекомендовать хорошую программу Юрия Пруса "admtools"
(http://am.rusimport.ru/msaccess/pgaccdownload.htm), упрощающую работу по настройке и ведению встроенной системы защиты access.
В методах защиты от юзера ничего не говорилось о защите базы с таблицами в случае, если вы отделили программы (клиентская часть) от собственно данных. Считается, что юзер просто не догадается вызвать access и открыть базу с данными. А если догадается, то будет ... Ох, как нехорошо будет ...
Для защиты базы с данными единственно, что можно сделать - это применить встроенную защиту access.

Если вы решите совместить защиту от ламера со следящей системой (а именно так я и делаю), то следует хорошо продумать уровень прав (разрешений) , которые вы предоставляете юзеру.
Не забывайте, что в момент анализа ошибки у компьютера будете вы, но с правами юзера.
Замечание для более опытных. Можно сделать программку, которая динамически меняет права юзера на администратора у всех обьектов базы при использовании секретного входа. То есть для вас. Тогда не надо сильно думать над назначением прав. И, конечно, не забыть о программе, восстанавливающий исходные назначения прав, если они были изменены.
Вызов этой программы я помещаю блок стартовых настроек, вызываемых макро autoеxec. Программы изменения прав довольно просты, но индивидуальны. Поэтому не приводятся. Для их написания help достаточен.

Завершение. Защита от опытного акцессиста.


Как сказал на форуме ssy: "Хреновая ситуация... Защита как-бы есть, но ломается с пол-пинка. Проблема в том, что имя и код владельца БД можно определить с пом. спец. программ, например http://msa.polarcom.ru/"

Могу добавить еще ссылку на забугорный источник: http://www.lostpassword.com/access.htm.

Такова текущая ситуация. Такой ли она должна быть? Ответ, конечно, нет. Есть хорошо известные методы, превращающую задачу взлома пароля в np-трудную задачу. То есть, время решения такой задачи растет быстрее любого полинома от длины пароля (например, экспотенциально). Известны алгоритмы и открытые программы такого шифрования, например rsa. (Более подробно узнать об этом алгоритме можно по адресу: http://www.leadersoft.ru/subscribe/sub/sub32.htm). Просто для примера, если вы решите подобрать пароль методом полного перебора, то, если в пароле будут применяться только латинские буквы и цифры, оценка времени подбора = c*62^n, где c - константа, а n - длина пароля. Это только киношные герои ломают пароли, три раза нажав на enter. Почему microsoft не применяет более мощные алгоритмы шифрования? Мне что-то не приходит в голову никаких разумных объяснений. И письма Гейтсу писать бесполезно - об этих алгоритмах он наверняка знает... На этой пессимистической ноте придется статью закончить.

ps. Мощнейшей защитой базы является перевод ее в формат mde. Но это тема уже другой статьи.

Защита баз mdb | | 2010-09-08 03:25:35 | | Базы данных | | Итак, как защитить?Опытный акцессист ответит сразу - никак. И будет прав.Почти. От него защиты нет, а от менее опытных - есть.Другой опытный скажет: об этом все известно. И то же будет прав. Почти | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Дайджест новых статей по интернет-маркетингу на ваш email
Подписаться

Продающие сайты "под ключ"!

Наши сайты зарабытывают вам деньги. Landing-page. Эффективные продающие сайты точно в срок и под ключ! Всего от 28300 рублей
Подробнее...

Интернет-магазины и каталоги "под ключ"!

Эффективные и удобные инструменты торговли (электронной торговли) "под ключ". Продают, даже когда вы спите! Всего от 52700 рублей
Подробнее...

Комплексный интернет-маркетинг и продвижение сайтов

Максимальную эффективность дает не какой-то конкретный метод, а их комбинация. Комбинация таких методов и называется комплексным интернет-маркетингом. Всего от 10000 рублей в месяц
Подробнее...

Реклама в Yandex и Google

Контекстная реклама нацелена лишь на тех пользователей, которые непосредственно заинтересованы в рекламе Ваших услуг или товаров. Всего от 10000 рублей в месяц
Подробнее...

Social media marketing (SMM) — продвижение в социальных медиа

Реклама в VK, Однокласcниках и на Mail.ru Создание, ведение и раскрутка групп и реклама ВКонтакте и Facebook. Всего от 10000 рублей в месяц
Подробнее...

Приглашаем к сотрудничеству рекламные агентства и веб-студии!

Внимание Акция! Приглашаем к сотрудничеству рекламные агентства и различные веб-студии России! Индивидуальные и взаимовыгодные условия сотрудничества.
Подробнее...

Ускоренная разработка любого сайта от 5 дней!

Внимание Акция! Ускоренная разработка любого сайта! Ваш сайт будет готов за 5-10 дней. Вы можете заказать разработку любого сайта "под ключ" за 5-10 рабочих дней, с доплатой всего 30% от его стоимости!
Подробнее...

Ждем новых друзей!

Внимание Акция! Ждем новых друзей! Скидка 10% на услуги по созданию и(или) обслуживанию вашего сайта при переходе к нам от другого разработчика.
Подробнее...

Приведи друга и получи скидку!

Внимание Акция! Приведи друга и получи скидку! Скидка 10% на услуги по созданию и(или) обслуживанию вашего сайта, если клиент заказавший наши услуги, пришел по Вашей рекомендации.
Подробнее...

1 2 3 4 5 6 7 8 9

Новые статьи и публикации



Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!

Качественное и объемное представление своего бизнеса в Сети требуется любой растущей коммерческой структуре, стремящейся увеличить продажи, именно по этой причине среди наших клиентов как крупные так и небольшие компании во многих городах России и ближнего зарубежья.
Как мы работаем

Заявка
Позвоните или оставьте заявку на сайте.


Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!


Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.


Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.


Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.

Остались еще вопросы? Просто позвоните и задайте их специалистам
с 2:30 до 11:30 по Мск, звонок бесплатный
Или напишите нам в WhatsApp
с 9:30 до 18:30 по Хабаровску
Или напишите нам в WhatsApp
Веб-студия и агентство комплексного интернет-маркетинга «РЭДЛАЙН» © 2006 - 2024

Профессиональная Веб-разработка. Создание сайтов и магазинов "под ключ" , а также по всей России и зарубежью. Продвижение и реклама. Веб-дизайн. Приложения. Сопровождение. Модернизация. Интеграции. Консалтинг. Продвижение и реклама. Комплексный Интернет-маркетинг.

Оставьте заявку / Задайте вопрос

Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных
×

Заказать услугу

Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных
×

Обратный звонок

Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных
×

Подписка на дайджест новостей

Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных
×

Заказать услуги со скидкой \ Бесплатная консультация







КАКИЕ УСЛУГИ ВАС ИНТЕРЕСУЮТ?

КАКИЕ ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ ПОТРЕБУЮТСЯ?

Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных
×

Высококачественные сайты по доступным ценамМы создаем практически любые сайты от продающих страниц до сложных, высоконагруженных и нестандартных веб приложений! Наши сайты это надежные маркетинговые инструменты для успеха Вашего бизнеса и увеличения вашей прибыли! Мы делаем красивые и максимально эффектные сайты по доступным ценам уже много лет!

Что нужно сделать, чтобы заказать создание сайта у нас?

Ну для начала вам нужно представлять (хотя бы в общих чертах), что вы хотите получить от сайта и возможно каким вы хотите его видеть. А дальше все просто. Позвоните нам или оставьте заявку нашим менеджерам, чтобы они связались с Вами, проконсультировали и помогли определиться с подходящим именно Вам сайтом по цене, сроку, дизайну или функционалу. Если вы все ещё не уверены, какой сайт вам нужен, просто обратитесь к нам! Мы вместе проанализируем вашу ситуацию и определим максимально эффективный для вас вариант.

Быстрый заказ \ Консультация

Для всех тарифных планов на создание и размещение сайтов включено:

Комплексная раскрутка сайтов и продвижение сайта Комплексный подход это не просто продвижение сайта, это целый комплекс мероприятий, который определяется целями и задачами поставленными перед сайтом и организацией, которая за этим стоит. Время однобоких методов в продвижении сайтов уже прошло, конкуренция слишком высока, чтобы была возможность расслабиться и получать \ удерживать клиентов из Интернета, просто сделав сайт и не занимаясь им...

Комплексная раскрутка работает в рамках стратегии развития вашего бизнеса в сети и направлена

Быстрый заказ \ Консультация

ЭФФЕКТИВНОЕ СОПРОВОЖДЕНИЕ (ПОДДЕРЖКА, ОБСЛУЖИВАНИЕ) САЙТОВ

Полный комплекс услуг по сопровождению сайтаМы оказываем полный комплекс услуг по сопровождению сайта: информационному и техническому обслуживанию и развитию Интернет сайтов.

Передав свой сайт для поддержки в руки наших специалистов, Вы избавитесь от проблем, связанных с обновлением информации и контролем за работой ресурса.

Наша компания осуществляет техническую и информационную поддержку уже имеющихся сайтов. В понятие «поддержка сайтов» также входят услуги администрирования сайтов, обновления сайтов и их модернизация.

Быстрый заказ \ Консультация

Редизайн сайта и Адаптивный веб дизайн

Современный, технологичный, кроссбраузерный ... Профессиональный дизайн сайтов и веб-приложений

Редизайн сайта — создание нового дизайна сайта с целью улучшения внешнего вида, функциональности и удобства использования. Редизайн сайта – это способ преобразовать проект к извлечению из него максимальной отдачи и средств. В современном мире задачами редизайна является поднятие существующего сайта на новый уровень для внедрения новых технологий, при этом сохраняя многолетний сформировавшийся опыт и успешные решения компаний.

Адаптивный дизайн сайтов и веб-приложений

Все больше людей пользуются мобильными устройствами (телефонами, планшетами и прочими) для посещения Интернета, это не для кого уже не новость. Количество таких людей в процентном отношении будет только больше с каждым годом, потому что это удобно и по многим другим причинам.

На сегодняшний день адаптивный дизайн является стандартным подходом при разработке новых сайтов (или веб-приложений) и в идеале ваш сайт должен смотреться и функционировать так, как вы задумывали, на всём разнообразии устройств.

Быстрый заказ \ Консультация

Контекстная реклама в Яндекс и GoogleКонтекстная реклама - это эффективный инструмент в интернет маркетинге, целью которого является увеличение продаж. Главный плюс контекстной рекламы заключается в том, что она работает избирательно.

Реклама в поисковых системах Яндекс и Google. Профессиональная настройка рекламы и отслеживание эффективности!

Рекламные объявления показываются именно тем пользователям, которые ищут информацию о Ваших товарах или услугах, поэтому такая реклама не является навязчивой и раздражающей в отличие от других видов рекламы, с которыми мы сталкиваемся на телевидении или радио. Контекстная реклама нацелена лишь на тех пользователей, которые непосредственно заинтересованы в рекламе Ваших услуг или товаров.

Быстрый заказ \ Консультация

Скидка

1500 руб.
Заинтересовались услугами создания, обслуживания или продвижения вашей компании в Интернете?!
Получите 1500 руб.
за он-лайн заявку
Предложение ограничено.

После получения заявки с Вами свяжутся наши специалисты и уточнят все детали по интересующей вас услуге.
«Нажимая на кнопку "Получить скидку", я даю согласие на обработку персональных данных»
×
Получите 1500 рублей!
×
×