Проблемы с безопасностью?  

   RSS

0

Добрый день. 

В голову пришел вот такой сценарий. 

В GBS залогинены несколько пользователей. Например старший менеджер(администратор) и продавец. У первого есть доступ к отчетностям магазина, закупочным ценам - в общем к тому, что некоторые называют коммерческой тайной.

Пока оба пользователя в системе, GBS скрупулезно просит ввести пинкод при входе в каждый свой раздел и вроде все хорошо, каждый пользователь видит то, что ему положено видеть. 

Теперь, представим себе, что пользователь Продавец с более минорными правами задумал что-то плохое. Что он делает? Он вылогинивается.

Что делает GBS? Думает, что в системе работает только администратор и открывает все свои секреты и функции - удаление операций, изменение остатков и прочее. 

Естественно это работает при условии, что администратор забыл вылогиниться или отошел от рабочего места...

Что думаете об этом?

3 Answers
0

@myster, действительно, такой порядок действий может привести к нежелательным последствиям. 

Ранее в программе была опция "Выполнять действия от имени активного сотрудника" - она как раз таки отвечает за то, что в случае входа только одного пользователя все действия выполняются от его имени без дополнительный авторизации. Когда эта опция была отключена, то при входе одного пользователя авторизация запрашивалась каждый раз, как если бы вход выполнили несколько сотрудников. 

Опция была скрыта и ее значение всегда "включена", т.к. ее практически никто никогда не отключал. В целом, нет сложности вернуть эту опцию в настройки и позволить самостоятельно выбирать поведение программы, чтобы избежать подобных ситуаций. Это пока единственный вариант, который сейчас мы видим. 

Конечно, можно при открытии окна "Пользователи" разлогинивать всех сотрудников, но здесь сложность в том, что открытие окна "Пользователи" может быть использовано не только для выхода, но и входа, например, когда тот же администратор пришел в торговую точку поработать на несколько часов - если "выкинет" всех пользователей, им потребуется входить заново, что совсем не удобно. 

Наверно опцию "Выполнять действия от активного пользователя" вернем в ближайших сборках. Если у Вас есть какие-нибудь рациональные идеи по данной ситуации, пожалуйста, напишите.

0

Если из GBS вылогинивается пользователь с более низкими правами, то для продолжения работы оставшемуся юзеру нужно подтвердить свои права пин кодом. 

Или по-другому. Если в системе остается только один пользователь (неважно с какими правами), то ему нужно подтвержить свое присутствие пин кодом. 

0

@myster, второй вариант, думаю, будет правильным решением проблемы. Посмотрим, что можно будет с этим сделать, ну, а пока опцию "Выполнять действия от имени активного сотрудника" вернули в настройки и ее можно выключить

Поделиться:
Служба поддержки
Группа Вконтакте
Заказать обратный звонок
Написать на электронную почту
  
Работает

Пожалуйста, Вход или Зарегистрироваться