- Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
- Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
- Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
- За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
- Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
- Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
- Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.
Запрет функций PUT\GET
Модератор: Глоб.модераторы
-
- освоился
- Сообщения: 271
- Зарегистрирован: 25 ноя 2018, 17:55
- Имя: Роман
- Благодарил (а): 4 раза
- Поблагодарили: 42 раза
Запрет функций PUT\GET
Здравствуйте,тут пошла такая тема, что на некоторых предприятиях ИБ запрещает использовать в коде данные функции. Может кто нибудь объяснить с чем это связанно. Только,если можно, без софистики, а конкретно,"в следствии использования в коде функции PUT произошло то-то, ущерб составил столько-то,человеческие жертвы такие-то". А то как то странно все это выглядит, столько времени не заморачивались и тут на тебе.
Случается нередко нам
И труд и мудрость видеть там,
Где стоит только догадаться
За дело просто взяться.
И труд и мудрость видеть там,
Где стоит только догадаться
За дело просто взяться.
-
- администратор
- Сообщения: 4909
- Зарегистрирован: 25 июл 2008, 07:12
- Имя: Диев Александр Васильевич
- Страна: Россия
- город/регион: г. Сегежа, Карелия
- Благодарил (а): 236 раз
- Поблагодарили: 425 раз
Запрет функций PUT\GET
Я так думаю, проблема в том, что функции PUT/GET (если речь идёт о Симатиках) могут использоваться для доступа к данным внутри контроллера без необходимости конфигурирования соединения в проекте. А конкретно PUT - для изменения данных в контроллере. То есть, теоретически - если будет возможность как-то внедрить в систему свой траффик (необязательно это физическое включение лишнего компьютера в сеть - может быть проход через неправильно сконфигурированный или взломанный файрвол) - то появится опасность влияния на работу контроллера и собственно техпроцесс. Ну а функция GET за компанию под раздачу попала, так как запрет в проекте выставляется сразу на обе функции. Вообще говоря, запрет не лишён смысла.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
-
- освоился
- Сообщения: 271
- Зарегистрирован: 25 ноя 2018, 17:55
- Имя: Роман
- Благодарил (а): 4 раза
- Поблагодарили: 42 раза
Запрет функций PUT\GET
Так и представляю себе "черного властелина" проникающего в технологическую сеть (Профинет), которая по хорошему должна быть физически изолирована от сети верхнего уровня, дабы учинить диверсию и посеять хаос.
Случается нередко нам
И труд и мудрость видеть там,
Где стоит только догадаться
За дело просто взяться.
И труд и мудрость видеть там,
Где стоит только догадаться
За дело просто взяться.
-
- администратор
- Сообщения: 4909
- Зарегистрирован: 25 июл 2008, 07:12
- Имя: Диев Александр Васильевич
- Страна: Россия
- город/регион: г. Сегежа, Карелия
- Благодарил (а): 236 раз
- Поблагодарили: 425 раз
Запрет функций PUT\GET
Тем не менее всё это весьма серьёзно. Она, конечно, по хорошему должна... Однако, чуть чаще, чем всегда, требуется собирать данные из локальной системы, например, в общую АСОДУ предприятия. Или в MES. Да, через файрвол между сетями, но файрволы тоже не идеальны. Кроме того, сквозь файрвол проковыривается таки дырочка для локального OPC-сервера, а на нём уже есть всё необходимое... А АСОДУ/MES стыкуется с ERP (надо ведь производственную информацию с финансовой интегрировать). А там - обычные компьютеры бухгалтеров/экономистов/закупщиков/продаванов. То есть - цепочка налицо. И в какое место флешку заражённую ткнут или письмо с вирусом пришлют - кто его знает?
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
-
- освоился
- Сообщения: 271
- Зарегистрирован: 25 ноя 2018, 17:55
- Имя: Роман
- Благодарил (а): 4 раза
- Поблагодарили: 42 раза
Запрет функций PUT\GET
То есть, если я не буду использовать в своем коде эти функции (весьма удобные), то всего вышеперечисленного проделать категорически не получится? Вам не кажется это бредом? Я больше склоняюсь, что кто то нехило деньжат на всем этом поднял и продолжает поднимать.
Случается нередко нам
И труд и мудрость видеть там,
Где стоит только догадаться
За дело просто взяться.
И труд и мудрость видеть там,
Где стоит только догадаться
За дело просто взяться.
-
- администратор
- Сообщения: 4909
- Зарегистрирован: 25 июл 2008, 07:12
- Имя: Диев Александр Васильевич
- Страна: Россия
- город/регион: г. Сегежа, Карелия
- Благодарил (а): 236 раз
- Поблагодарили: 425 раз
Запрет функций PUT\GET
Если у вас дома есть сейф с деньгами, он ведь наверняка закрыт, да? Несмотря на то, что закрыта также и дверь в квартиру. И внизу в подъезде - тоже, наверное, домофон. А ещё есть специально обученные люди в форме, в чьи обязанности входит обеспечение в том числе и безопасность вашей собственности (и содержимое сейфа - в ом числе). Это называется эшелонированной защитой. Ни одна из защит не может обеспечить абсолютной безопасности, и даже все вместе. Но максимально затруднить задачу потенциальному злоумышленнику надо. В пределах разумного, конечно. PUT/GET - удобно, конечно, но это не единственный способ обмена данными между контроллерами. Есть более безопасные способы.
И, кстати, дело тут не в самих функциях, а в разрешении на использование этих функций в настройках контроллеров.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
-
- специалист
- Сообщения: 655
- Зарегистрирован: 19 фев 2019, 22:38
- Имя: Сергей
- Страна: Россия
- город/регион: Краснодар
- Благодарил (а): 20 раз
- Поблагодарили: 89 раз
Запрет функций PUT\GET
Всем привет. Тоже внесу 5 копеек...Вот точно не помню(пол года с Леней Брэдли работаю и Симатик в файл подкачки выгрузился ), но для резервированных S7-400H какой-то важный функционал не работал при запрещенных PUT/GET.
Запрет PUT/GET мне больше напоминает охраняемые злобным алабаем (Фаерволл) запертые, заколоченные и забаррикадированные ворота в сарайчик, а задней стеночки то нету...вот такое вот эшелонирование.
-
- администратор
- Сообщения: 18758
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1854 раза
Запрет функций PUT\GET
Может. Но вообще-то за такую статистику, которую проводят крупные конторы, денег просят.
Причину объяснил VADR, отраслевые стандарты могут такое запрещать, имеют право.
Например я знаю отрасли, где запрещены безусловные переходы, и инспектора требуют это продемонстрировать в коде.
Всё может быть. Но раз есть запрет в нормативе - соблюдать запрет надо, независимо от своих ассоциаций и предположений.
По вопросам работы Форума можно обратиться по этим контактам.