Repost : Vấn đề bảo mật hệ thống của MISA

  • Thread starter shpy
  • Ngày gửi
S

shpy

Guest
27/4/07
35
1
0
40
HCM
Có rất nhiều vấn đề liên quan đến bảo mật hệ thống của MisaSME. Mình chỉ là người dùng (không về IT) nên các vấn đề đó mình chỉ là cảm nhận lơ mơ , không mô tả chi tiết cho mọi người như mình hiểu được (nhưng các anh lập trình chắc biết).
Tuy nhiên, có 1 cái (không phải lỗi) mà mình thấy rằng (đối với mình và hầu hết người dùng Misa) là rất nghiêm trọng:

1. Khi cài đặt Misa ở máy chủ. Misa sẽ cài đặt 1 máy chủ SQL. SQL server này dùng SQL Desktop Engine - cấp đơn giản nhất của SQL server 2000 và là phiên bản rất cũ, nguy cơ lỗi là có.

2. SQL server này do Misa install đã mặc định open port 1433 TCP và 1434 UDP. Máy chủ Misa cần phải open 2 port này để các máy con truy cập. 2 port này thường xuyên bị các hacker dòm ngó (1 ngày mình bị riêng ip Việt Nam quét port 1433 cả mấy trăm lần với gần 100 ip khác nhau). Người dùng không thể đổi port mặc định này. Nếu ai biết nhiều hơn thì có thể sử dụng các soft quản lý SQL server để đổi nhưng các máy con Misa sẽ "có thể" không truy cập được do trong Misa không có mục chỉnh port truy cập máy chủ.

3. 2 lỗi trên tương đối còn nhẹ. Kế tiếp, khi cài đặt máy chủ Misa - máy chủ SQL server, Misa đã mặc định password của user admin "sa" (user có quyền cao nhất trong SQL server - có quuyền có thể nói tương đương user admin của hệ thống PC đó nếu được khai thác tốt) là "sa" . Tương tự trên, người dùng thông thường không thể thay đổi mật khẩu của user "sa". Như vậy, bất kỳ ai truy cập (từ xa, Lan, trực tiếp) đều dễ dàng chui vào với pass "sa" . Tương tự mục 2, người dùng biết IT cao hơn có thể thay đổi pass của "sa" vì "sa" chỉ cần thiết khi cài đặt Misa máy chủ và tạo database lần đầu tiên.

4. Đây mới chính là lỗi mà mình sợ nhất. User "sa" chỉ cần để tạo user "MISASME79" , pass thì mặc định và mình không biết. Khi Misa tạo ra MISASME79, user này được gán quyền còn "lớn" hơn user admin "sa" (cái này thì hơi tức cười vì với quyền sysadmin thì coi như có tất cả, MISASME79 thì được gán tất cả các quyền mà nó thấy trong list phân quyền , kể cả sysadmin !!! sao mà thma thế !). Và pass của MISASME79 thì mình không biết. Mình không thể thay đổi pass của user này do nó được khóa cứng trong soft Misa. Cố ý đổi thì chắc chắn không chạy được Misa.
Tương tự với user "sa" , bất kỳ ai biết pass của MISASME79 (mà nhân viên của MISA thì chắc chắn phải biết, ít nhất bộ phận lập trình) có thể truy cập vào và làm mọi thứ với dữ liệu của mình và điều khiển cả hệ thống PC của mình (xóa dữ liệu chỉ là chuyện nhỏ nhỏ rất nhỏ)

4 ý trên chỉ là 4 điều cơ bản của 1 vấn đề trong các vấn đề về bảo mật dữ liệu và hệ thống mà thôi.

@ bạn nào làm ở Misa: mình ở công ty Hưng Phát. Các ý mà mình tìm hiểu được đều có báo với nhân viên kinh doanh của Misa nhưng cảm giác phản hồi rất chậm và trả lời không thỏa đáng. Tuy giá trị bản quyền nhỏ (chỉ 3tr) nhưng dữ liệu kế toán là vấn đề rất lớn.
 
  • Like
Reactions: thienvc
Khóa học Quản trị dòng tiền
hai2hai

hai2hai

VNUNI Makes a difference
29/4/04
2,032
125
63
50
Hà nội
vnuni.net
Đây là vấn đề chung của đại đa số các phần mềm có CSDL MS SQL trong đó có công ty mình sử dụng. Vì vậy, mình cũng xin trao đổi như sau:

Re 1: Khi cài đặt Misa ở máy chủ. Misa sẽ cài đặt 1 máy chủ SQL. SQL server này dùng SQL Desktop Engine - cấp đơn giản nhất của SQL server 2000 và là phiên bản rất cũ, nguy cơ lỗi là có.
Trả lời:
VNUNI cần giải thích thêm về vấn đề bản quyền CSDL của MS SQL
- Tùy theo loại CSDL của MS SQL: Nếu sử dụng Free MSDE 2000 của Microsoft thì giới hạn là: 2Gb dữ liệu + 15 người cùng sử dụng chương trình. Nếu sử dụng các bản MS SQL 2000 khác của Microsoft như Standard, Professional, Enterprise thì số lượng người cùng sử dụng sẽ rất nhiều (có thể tra cứu trên trang microsoft.com)

- Khi người dùng quyết định dùng hệ CSDL MS SQL của Microsoft mà ko dùng MSDE miễn phí (với 2 giới hạn ở trên) thì theo nguyên tắc, VNUNI vẫn khuyến cáo các khách hàng mua bản quyền (thay vì dùng chùa) MS SQL 2000 (Standard, Proffesional, Enterprise) của Microsoft.

Giải thích thêm:

- MSDE2000A Service Pack 4 (nén lại là 73Mbs) là bản SP cuối cùng của dòng họ MS SQL 2000. Đây là bản được cập nhật bổ sung rất nhiều về vấn đề vá những lỗi bảo mật.
- MS SQL 2005 tuy là dòng CSDL mới của MS nhưng ko phải vì thế mà tăng tính năng bảo mật lên nhiều so với MS SQL 2000 (với SP4). Để biết thêm chi tiết, hãy tham khảo tài liệu What's News trên trang web của MS.
- Đây là vấn đề chính: MSDE 2000 và MS SQL 2005 Express là sản phẩm miễn phí của Microsoft và phù với với những loại dữ liệu nhỏ như phần mềm mà bên Hưng Phát mua (3trVNĐ). Tôi chỉ lấy ví dụ: CSDL của VNUNI sau 3 tháng sử dụng, mỗi ngày trung bình 8,000 giao dịch các loại, chỉ có kích thước là 15Mbs (nén lại chỉ ~2Mbs), trong khi MSDE cho phép CSDL lên tới 2Gb, MS SQL 2005 Express là 4Gbs. Nếu sử dụng cách viết Connectionless (Disconnected recordset/dataset) thì gần như ko bao giờ đụng trần con số 15 concurrent users mà MSDE hay MS SQL 2005 Express hỗ trợ. Vậy 1 phòng kế toán + phòng lãnh đạo có bao giờ có tới 15 người cùng chạy 1 lúc (chứ ko phải 15 người thi thoảng mới sử dụng chương trình nhé). Liệu Cty của các quý KH (mua phần mềm tới 3trVNĐ) có bỏ tiền khoảng ~3,500$ để mua MS SQL 2000 Standard ko? (bản Enterprise thì có giá trên trời luôn). Vậy tại sao ko phải là dùng MSDE (vẫn còn thừa thãi khả năng đáp ứng) mà phải đề cập tới những phiên bản khác của MS SQL???

Re 2: SQL server này do Misa install đã mặc định open port 1433 TCP và 1434 UDP. Máy chủ Misa cần phải open 2 port này để các máy con truy cập. 2 port này thường xuyên bị các hacker dòm ngó (1 ngày mình bị riêng ip Việt Nam quét port 1433 cả mấy trăm lần với gần 100 ip khác nhau). Người dùng không thể đổi port mặc định này. Nếu ai biết nhiều hơn thì có thể sử dụng các soft quản lý SQL server để đổi nhưng các máy con Misa sẽ "có thể" không truy cập được do trong Misa không có mục chỉnh port truy cập máy chủ.

Trả lời:
- Ở các máy chủ, thậm chí máy cài WINXP cũng có Windows Firewall, chỉ cần Add thêm cổng 1433, 1434, sau đó "Change Scope", chọn "Customer List" và đưa giải IP của các máy truy cập vào là được. Không nhất thiết là đổi lại cổng của MS SQL (mà đổi thì đâu có gì khó???)
- Không phải modem ADSL nào cũng mặc định mở 2 cái cổng đó để có thể từ máy trên mạng Internet có thể connect được vào CSDL của MS SQL (trừ phi quý công ty có thiết lập mạng để máy chủ có thể truy cập từ xa và người quản trị mạng mở 2 cái ports đó của MS SQL).
- Không nhẽ MS sinh ra 2 cái cổng mặc định đó rồi để tất cả các KH trên thế giới sử dụng MS SQL đi đổi lại thành cổng khác?

Re 3 + 4: Tôi ko có ý kiến gì vì đó là thuộc từng cách làm SP của mỗi công ty. Tuy nhiên, tôi ko biết là KH có người quản lý máy chủ CSDL hay ko vì một khi đã bàn giao (nghiệm thu hợp đồng) thì bên khách hàng có quyền thay đổi mật khẩu của các phần mềm hệ thống (HĐH, hệ CSDL,...) cũng như mật khẩu của admin của chương trình. Nếu NCC muốn thực hiện các thao tác liên quan trong quá trình hỗ trợ thì cũng phải được phép của người quản lý hệ thống của khách hàng. Còn nếu KH lại ko có người chịu trách nhiệm về an ninh dữ liệu và ko đủ năng lực để tự update chương trình thì đành phải "chấp nhận" để nhân viên của NCC thực hiện các công việc trong quá trình hỗ trợ thôi.

Hơn nữa, nếu khách hàng ko muốn có bản nâng cấp (MISA cũng như tất cả các phần mềm đóng gói khác thường xuyên có bản nâng cấp) thì cũng có thể từ chối dịch vụ hỗ trợ của NCC. Vì đã là nâng cấp phần mềm thì nhiều khi phải nâng cấp cấu trúc CSDL rồi. Không truy cập vào CSDL thì làm sao nâng cấp được??? Nếu khách hàng đủ giỏi để thực hiện nâng cấp thì quá tốt cho NCC, họ chỉ cần ra bản SP để KH tự thực hiện những công việc đó chứ ko muốn tới tận nơi KH làm gì.

Re: ... Tương tự với user "sa" , bất kỳ ai biết pass của MISASME79 (mà nhân viên của MISA thì chắc chắn phải biết, ít nhất bộ phận lập trình) có thể truy cập vào và làm mọi thứ với dữ liệu của mình và điều khiển cả hệ thống PC của mình (xóa dữ liệu chỉ là chuyện nhỏ nhỏ rất nhỏ)

Nếu đã ko tin nhau thì cần gì phải mua của nhau???? NCC chả nhẽ dại dột đến mức làm những việc như vậy để đập tan thương hiệu bao năm của họ???
 
M

MISASALES

Guest
24/11/07
70
0
0
HN
www.misa.com.vn
Chào các bạn,
Mình là một thành viên của gia đình MISA. Sau khi đọc bài viết về vấn đề bảo mật dữ liệu và hệ thống của bạn ở Công ty Hưng Phát, mình xin trao đổi một số vấn đề với bạn nói riêng và những khách hàng đang sử dụng phần mềm của MISA nói chung.

1. Khi cài đặt Misa ở máy chủ. Misa sẽ cài đặt 1 máy chủ SQL. SQL server này dùng SQL Desktop Engine - cấp đơn giản nhất của SQL server 2000 và là phiên bản rất cũ, nguy cơ lỗi là có.
==> MISA sử dụng MSDE 2000A, là engine mới nhất mà Microsoft phát hành cho MSDE. Như vậy, bạn nói MISA dùng "phiên bản rất cũ" là không đúng. Việc MISA sử dụng MSDE là rất đúng đắn vì MSDE là phiên bản rút gọn của SQL2000, vừa gọn nhẹ lại vừa đảm bảo vấn đề quyền sử dụng vì MSDE được Micorosoft phát hành miễn phí. Nếu MISA cài SQLServer2000 cho bạn sử dụng, bạn sẽ phải trả thêm số tiền ngang với giá phần mềm kế toán MISA nữa. Theo bạn, ta nên chọn cách nào?

2. SQL server này do Misa install đã mặc định open port 1433 TCP và 1434 UDP. Máy chủ Misa cần phải open 2 port này để các máy con truy cập. 2 port này thường xuyên bị các hacker dòm ngó (1 ngày mình bị riêng ip Việt Nam quét port 1433 cả mấy trăm lần với gần 100 ip khác nhau). Người dùng không thể đổi port mặc định này. Nếu ai biết nhiều hơn thì có thể sử dụng các soft quản lý SQL server để đổi nhưng các máy con Misa sẽ "có thể" không truy cập được do trong Misa không có mục chỉnh port truy cập máy chủ.
==> Thứ nhất, bất cứ hệ quản trị CSDL client - server nào trên thế giới cũng cho phép máy trạm truy cập máy chủ thông qua "Port". Ở Microsoft, hay ở ngân hàng Thụy Sĩ, hay ở bất kì nơi nào cũng vậy.
Thứ hai, sau khi thay đổi Port mặc định 1433, máy trạm truy cập máy chủ hoàn toàn bình thường bất kể máy chủ đặt Port là bao nhiêu. Bạn nói "có thể" mà không thử nghiệm thực tế xem MISA có chạy được không là rất đáng trách.


3. 2 lỗi trên tương đối còn nhẹ. Kế tiếp, khi cài đặt máy chủ Misa - máy chủ SQL server, Misa đã mặc định password của user admin "*sa*" (user có quyền cao nhất trong SQL server - có quuyền có thể nói tương đương user admin của hệ thống PC đó nếu được khai thác tốt) là "*sa*" . Tương tự trên, người dùng thông thường không thể thay đổi mật khẩu của user "sa". Như vậy, bất kỳ ai truy cập (từ xa, Lan, trực tiếp) đều dễ dàng chui vào với pass "sa" . Tương tự mục 2, người dùng biết IT cao hơn có thể thay đổi pass của "sa" vì "sa" chỉ cần thiết khi cài đặt Misa máy chủ và tạo database lần đầu tiên.
==> Mật khẩu của "sa" thay đổi bằng cách: chạy MISA, chọn "Chỉ đăng nhập vào máy chủ", vào menu Tệp -> Tiện ích khác -> Thay đổi mật khẩu sa. Bạn lại sai rồi nhé.

4. Đây mới chính là lỗi mà mình sợ nhất. User "sa" chỉ cần để tạo user "MISASME79" , pass thì mặc định và mình không biết. Khi Misa tạo ra MISASME79, user này được gán quyền còn "lớn" hơn user admin "sa" (cái này thì hơi tức cười vì với quyền sysadmin thì coi như có tất cả, MISASME79 thì được gán tất cả các quyền mà nó thấy trong list phân quyền , kể cả sysadmin !!! sao mà thma thế !). Và pass của MISASME79 thì mình không biết. Mình không thể thay đổi pass của user này do nó được khóa cứng trong soft Misa. Cố ý đổi thì chắc chắn không chạy được Misa. Tương tự với user "sa" , bất kỳ ai biết pass của MISASME79 (mà nhân viên của MISA thì chắc chắn phải biết, ít nhất bộ phận lập trình) có thể truy cập vào và làm mọi thứ với dữ liệu của mình và điều khiển cả hệ thống PC của mình (xóa dữ liệu chỉ là chuyện nhỏ nhỏ rất nhỏ)
==>Mật khẩu của user MISASME79 được sinh ngẫu nhiên (random) với độ dài 32 kí tự và được mã hóa trên máy trạm bằng công nghệ MD5, nên không ai, kể cả lập trình viên của MISA, có thể biết được. Bạn yên tâm nhé.

Nếu còn gì vướng mắc bạn cứ liên hệ lại với MISA để được hỗ trợ nhé!
 
S

shpy

Guest
27/4/07
35
1
0
40
HCM
Trước tiên, cảm ơn 2 bạn đã trả lời chi tiết. Có lẽ do phải liên hệ qua bên nhân viên kinh doanh rồi mới đến nhân viên kỹ thuật nên nhiều khi thông tin không rõ ràng.


Chào các bạn,
Mình là một thành viên của gia đình MISA. Sau khi đọc bài viết về vấn đề bảo mật dữ liệu và hệ thống của bạn ở Công ty Hưng Phát, mình xin trao đổi một số vấn đề với bạn nói riêng và những khách hàng đang sử dụng phần mềm của MISA nói chung.

1. Khi cài đặt Misa ở máy chủ. Misa sẽ cài đặt 1 máy chủ SQL. SQL server này dùng SQL Desktop Engine - cấp đơn giản nhất của SQL server 2000 và là phiên bản rất cũ, nguy cơ lỗi là có.
==> MISA sử dụng MSDE 2000A, là engine mới nhất mà Microsoft phát hành cho MSDE. Như vậy, bạn nói MISA dùng "phiên bản rất cũ" là không đúng. Việc MISA sử dụng MSDE là rất đúng đắn vì MSDE là phiên bản rút gọn của SQL2000, vừa gọn nhẹ lại vừa đảm bảo vấn đề quyền sử dụng vì MSDE được Micorosoft phát hành miễn phí. Nếu MISA cài SQLServer2000 cho bạn sử dụng, bạn sẽ phải trả thêm số tiền ngang với giá phần mềm kế toán MISA nữa. Theo bạn, ta nên chọn cách nào?
Mình đồng ý với cả 2 về vấn đề dùng MSDE của SQL2000 (năng lực xử lý thế là dư). Do mình kiểm tra thấy rằng đấy không phải phiên bản mới nhất mà nằm trong vị trí phiên bản cũ nhất của MSDE .760 còn bản SP4 là .2039 (xem trên Microsoft, có 4 phiên bản MSDE trong list ấy). Mình cũng đã thử với SQL Express 2005 nhưng không thành công (báo lỗi connect)
Với người dùng thông thường việc nâng cấp MSDE hơi khó


2.==> Thứ nhất, bất cứ hệ quản trị CSDL client - server nào trên thế giới cũng cho phép máy trạm truy cập máy chủ thông qua "Port". Ở Microsoft, hay ở ngân hàng Thụy Sĩ, hay ở bất kì nơi nào cũng vậy.
Thứ hai, sau khi thay đổi Port mặc định 1433, máy trạm truy cập máy chủ hoàn toàn bình thường bất kể máy chủ đặt Port là bao nhiêu. Bạn nói "có thể" mà không thử nghiệm thực tế xem MISA có chạy được không là rất đáng trách.

Chính vì lý do 3 và 4 bên dưới mình mới chú ý đến cái port này. Thông thường mình dùng các soft đều để các mặc định mà soft yêu cầu. Tuy nhiên, nếu có khả năng (trong tùy chọn được không?) thì sẽ giúp tăng thêm khả năng an toàn. Đúng là mình có thiếu sót khi không thử xem khi đổi port thì Misa có dùng được không. Chắc để CN mọi người không dùng mình sẽ thử.

- Ở các máy chủ, thậm chí máy cài WINXP cũng có Windows Firewall, chỉ cần Add thêm cổng 1433, 1434, sau đó "Change Scope", chọn "Customer List" và đưa giải IP của các máy truy cập vào là được. Không nhất thiết là đổi lại cổng của MS SQL (mà đổi thì đâu có gì khó???)
- Không phải modem ADSL nào cũng mặc định mở 2 cái cổng đó để có thể từ máy trên mạng Internet có thể connect được vào CSDL của MS SQL (trừ phi quý công ty có thiết lập mạng để máy chủ có thể truy cập từ xa và người quản trị mạng mở 2 cái ports đó của MS SQL).
- Không nhẽ MS sinh ra 2 cái cổng mặc định đó rồi để tất cả các KH trên thế giới sử dụng MS SQL đi đổi lại thành cổng khác?

Bạn ơi, mình đã nói người dùng thường mà, chỉnh chỉnh nhiều thế thì sao biết. Với lại, khi làm soft, ai lại coi như mặt định người ta đã có những soft kia. Nếu cần, phải nêu yêu cầu để người ta biết họ có không mà còn chuẩn bị.
Thêm nữa, nếu IP động thì sao? Nếu đã cho cả dải IP thì có khác gì lắm đâu (chỉ là hạn chế chút xíu thôi chứ không ngăn chặn)
Về modem ADSL . Nói như vậy, khi dùng MISA , người dùng sẽ không được dùng các soft khác mà yêu cầu open - forward tất cả các port tới máy sao?

Bạn trả lời cái vụ port này mình thấy ngộ quá. Giống như :dùng MISA thì lo mà khóa port 1433 1434 lại, chỉ cho ip nào vào thôi (cái này mới quan trọng). Mở ra là rủi ro ráng mà chịu!!


3.==> Mật khẩu của "sa" thay đổi bằng cách: chạy MISA, chọn "Chỉ đăng nhập vào máy chủ", vào menu Tệp -> Tiện ích khác -> Thay đổi mật khẩu sa. Bạn lại sai rồi nhé.

Như mình đã nói ngay từ đầu, là không ít người dùng không chuyên IT (như mình và doanh nghiệp mình). Lúc đó, việc nhầm lần giữa thay đổi mật khẩu sa và mật khẩu admin là có. Và hầu như không ai đổi hay được nhắc nhở đổi mật khẩu sa này (các bạn mình cũng dùng MISA cho doanh nghiệp họ, khi mình hỏi thì mới giật mình vì không chú ý việc đó). Nếu khi cài đặt, mật khẩu được tùy chọn đặt ngay hoặc khi đăng nhập , nếu pass sa vẫn là sa thì yêu cầu đổi ngay v.v.




4.
==>Mật khẩu của user MISASME79 được sinh ngẫu nhiên (random) với độ dài 32 kí tự và được mã hóa trên máy trạm bằng công nghệ MD5, nên không ai, kể cả lập trình viên của MISA, có thể biết được. Bạn yên tâm nhé.

Bạn nói thế thì mình an tâm rồi. Rất an tâm vì mọi cái nó cũng loay hoay từ cái này.
Tuy nhiên, mình muốn "loi nhoi" thêm chút cho rõ. Bạn nói pass MISASME79 được mã hóa random và lưu vào chương trình. Như vậy, khi cài đặt mỗi máy sẽ random ra một pass khác nhau. Vậy làm sao nhiều máy truy cập được ?! Vậy là phải có quy luật. Vì , chỉ cần 1 máy cài đặt MISA và connect được tới máy chủ thì họ có thể dùng acc MISA rồi.

Như vậy mình quay lại, có cảm giác là bạn nhầm lẫn ở pass của các user trong MISA và pass của MISASME79 mà mình nói. Nói tới đây mình lại vẫn thấy pass MISASME79 là pass cứng, không random ! Bạn giải đáp giúp nhé.

Tóm lại, cảm ơn 2 bạn đã trả lời. Đặc biệt là MISASALES, bạn rất hòa nhã.
@ to hai2hai . Có lẽ bạn kỳ thuật cao nên không hiểu rõ vấn đề lo ngại của mình. Bạn cũng nên biết là hầu hết mọi người cũng ngại gọi hỗ trợ. Như của mình, mình mail qua mai lạii nhiều lần nhưng vẫn không có trả lời rõ.
 
V

Vũ Văn Tình

Guest
2/11/04
4
0
0
40
Ho Chi Minh City
Vấn đề bảo mật dữ liệu của PMKT Misa

Chào các anh Misa!
Mình không thấy các anh khóa dữ liệu của PMKT Misa Express 7.9 (miễn phí) !
Mình nghĩ rằng các file dữ liệu (nhất là dữ liệu kế toán) cần phải được bảo mật nghiêm ngặt (bằng pw chẳng hạn). Mình đang chạy bản miễn phí, không rõ có phải do miễn phí nên Misa không có chức năng khóa dữ liệu hay không?
 
M

MISASALES

Guest
24/11/07
70
0
0
HN
www.misa.com.vn
Chào các anh Misa!
Mình không thấy các anh khóa dữ liệu của PMKT Misa Express 7.9 (miễn phí) !
Mình nghĩ rằng các file dữ liệu (nhất là dữ liệu kế toán) cần phải được bảo mật nghiêm ngặt (bằng pw chẳng hạn). Mình đang chạy bản miễn phí, không rõ có phải do miễn phí nên Misa không có chức năng khóa dữ liệu hay không?
----------

Chào bạn Tình,
Mình chưa hiểu rõ vấn đề khóa dữ liệu của PMKT MISA-Express 7.9 (miễn phí) bạn nêu ra ở trên.
Đúng là hiện nay Công ty Cổ phần MISA có phát hành bản MISA-SME Express 7.9 miễn phí dành cho các doanh nghiệp. Các DN có thể download bộ cài này trên website về cài đặt và chạy trên máy tính của mình.
Sau khi cài đặt về máy tính, bạn có thể tự thay đổi mật khẩu hoặc có quyết định chia sẻ chương trình này cho máy khác hay không. Vì vậy, bạn không phải phải lo lắng về vấn đề bảo mật dữ liệu.
Bản MISA-SME Express 7.9 được đưa lên website chỉ là bộ cài sản phẩm mà thôi.
Nếu muốn tìm hiểu kỹ hơn về sản phẩm, bạn có thể liên hệ trực tiếp với chúng tôi theo thông tin dưới đây:

Công ty Cổ phần MISA
Địa chỉ: Nhà I, Khách sạn La Thành 218 Đội Cấn, Ba Đình, Hà Nội
Điện thoại: 04-762 7891 (máy lẻ 102-150)
Email: sales@misa.com.vn


Cảm ơn bạn đã quan tâm tới sản phẩm của chúng tôi.
 
V

Vũ Văn Tình

Guest
2/11/04
4
0
0
40
Ho Chi Minh City
----------

Chào bạn Tình,
Mình chưa hiểu rõ vấn đề khóa dữ liệu của PMKT MISA-Express 7.9 (miễn phí) bạn nêu ra ở trên.
Đúng là hiện nay Công ty Cổ phần MISA có phát hành bản MISA-SME Express 7.9 miễn phí dành cho các doanh nghiệp. Các DN có thể download bộ cài này trên website về cài đặt và chạy trên máy tính của mình.
Sau khi cài đặt về máy tính, bạn có thể tự thay đổi mật khẩu hoặc có quyết định chia sẻ chương trình này cho máy khác hay không. Vì vậy, bạn không phải phải lo lắng về vấn đề bảo mật dữ liệu.
Bản MISA-SME Express 7.9 được đưa lên website chỉ là bộ cài sản phẩm mà thôi.
Nếu muốn tìm hiểu kỹ hơn về sản phẩm, bạn có thể liên hệ trực tiếp với chúng tôi theo thông tin dưới đây:

Công ty Cổ phần MISA
Địa chỉ: Nhà I, Khách sạn La Thành 218 Đội Cấn, Ba Đình, Hà Nội
Điện thoại: 04-762 7891 (máy lẻ 102-150)
Email: sales@misa.com.vn


Cảm ơn bạn đã quan tâm tới sản phẩm của chúng tôi.
-------
Cảm ơn các anh Misa đã cho biết thêm thông tin!
Ý mình là: File dữ liệu kế toán của AccNet (=Access 2000) được bảo mật, không ai có thể mở được (trừ Lạc Việt), còn file dữ liệu của Misa Express 7.9 (=SQL Desktop Engine ) vẫn có thể dùng SQL 2000 mở ra bình thường. Vậy thì mật khẩu đăng nhập vào Misa Express có ý nghĩa gì ko khi mà vẫn mở được bằng SQL 2000 (không có mật khẩu gì cả). Nếu Công ty mình có vài anh IT biết chút ít về SQL 2000 có thể mở ra và "chọt" gì đó thì làm sao mình yên tâm với dữ liệu kế toán của mình được?
 
hai2hai

hai2hai

VNUNI Makes a difference
29/4/04
2,032
125
63
50
Hà nội
vnuni.net
1. File Acesss mình mở PWS trong 30 giây, bạn gửi cho mình file của AccNET nhé. (Kể cả áp dụng phương pháp tạo account có quyền admin xong rồi dùng account đó remove admin của accesss đi, sử dụng account đó để tạo Database). Tất cả sẽ được gỡ trong 30 seconds!

2. File Access muốn làm từ máy trạm phải share full (trừ phi bạn sử dụng WINSOCK để viết 1 server app để lắng nghe yêu cầu từ clients. Hiện mình chỉ thấy có 1 người trên thế giới viết loại này và nay đã dừng lại ko viết nữa), bất cứ ai ngồi từ máy trạm đó có thể Shift + Del.

3. File Access đó nếu ai ngồi vào chính máy có cái ổ cứng đó có thể Shift + Del (Database nào cũng thế cả thôi, stop service xong là làm gì cũng được).

4. Khái niệm bảo mật có rất nhiều loại:
- Bảo mật bằng chính sách sử dụng của đơn vị. Ai ko có quyền ko được ngồi vào máy chủ. Khi ko vào được máy chủ thì đừng nghĩ tới việc copy file CSDL của MS SQL nhé. Còn nếu bạn để ai đó ngồi trên máy có CSDL của bạn rồi thì ... dội cho nó 1 gáo nước, đảm bảo mất hết CSDL.
- Bảo mật bằng HĐH. Nếu bạn sử dụng máy chủ CSDL cài các hệ điều hành Windows Server của M$ và thiết lập Domain cùng với chính sách Policies chặt chẽ (thậm chí tới từng action như read/write tới 1 file, 1 thư mục) thì xin mời các IT xem họ có vào đó mà xơi CSDL được ko?
- Bảo mật bằng tính năng bảo mật của hệ CSDL. Hệ CSDL ở trường hợp này là MS SQL. Tôi ko nghĩ là có quá nhiều người ở VN có thể ngồi từ máy khác mà vượt qua được mức độ bảo mật của MS SQL để có thể vào được CSDL của doanh nghiệp (trước kia thì có vài lỗ hổng nhưng M$ giờ đã bịt kín gần hết rồi). Hơn nữa, bây giờ hệ CSDL nào cũng cho phép encript Database, nó ko chỉ mã hóa mấy cái store procedures, triggers mà còn mã hóa cả phần dữ liệu với những thuật toán mã hóa đã được chứng minh trên thế giới. Chưa hết, nếu thiết kế CSDL có quan hệ, với việc thay đổi hệ thống tên các tables, các tables đó lại quan hệ với nhau toàn qua ID, các tên trường được mã hóa hết thì tớ biếu các bạn file CSDL các bạn đọc cũng ko hiểu chứ đừng nói là có thể run mấy SQL của các bạn để trích được Database ra theo đúng mục đích.
- Ngoài ra, nếu các bạn thiết kế ứng dụng theo mô hình n-tiers thì CSDL còn được bảo mật ở 2 lớp nữa là lớp ứng dụng và lớp Business với các cơ chế mã hóa mật khẩu tiên tiến, các nghiệp vụ loằng ngoằng nằm trong các components ở các lớp trung gian. Ngồi ở máy trạm, vượt qua được 2 mức đó tớ nghĩ cũng đã là quá kinh khủng.

Như vậy, với cách thức bảo mật 5 lớp như trên, cách thiết kế CSDL và mô hình ứng dụng như trên thì xin mời các IT hack (từ máy khác).

Còn nếu bạn để người khác ngồi vào máy chứa CSDL của bạn thì chả cần copy hay mở mang gì đâu, detach cái rồi xóa xoẹt phát là xong (vì ko cần phải dùng tới cái "sa" account đâu mà vẫn có thể xóa & copy được như thường, CSDL của gì cũng thế - chứ đừng nói tới cái Access bé tý tẹo, stop service xong thì copy xóa thoải mái nếu người đó ngồi trên máy đó). Nhưng chả nhẽ bạn risk với số liệu kế toán của bạn đến thế cơ à?
 
V

Vũ Văn Tình

Guest
2/11/04
4
0
0
40
Ho Chi Minh City
1. File Acesss mình mở PWS trong 30 giây, bạn gửi cho mình file của AccNET nhé. (Kể cả áp dụng phương pháp tạo account có quyền admin xong rồi dùng account đó remove admin của accesss đi, sử dụng account đó để tạo Database). Tất cả sẽ được gỡ trong 30 seconds!

2. File Access muốn làm từ máy trạm phải share full (trừ phi bạn sử dụng WINSOCK để viết 1 server app để lắng nghe yêu cầu từ clients. Hiện mình chỉ thấy có 1 người trên thế giới viết loại này và nay đã dừng lại ko viết nữa), bất cứ ai ngồi từ máy trạm đó có thể Shift + Del.

3. File Access đó nếu ai ngồi vào chính máy có cái ổ cứng đó có thể Shift + Del (Database nào cũng thế cả thôi, stop service xong là làm gì cũng được).

4. Khái niệm bảo mật có rất nhiều loại:
- Bảo mật bằng chính sách sử dụng của đơn vị. Ai ko có quyền ko được ngồi vào máy chủ. Khi ko vào được máy chủ thì đừng nghĩ tới việc copy file CSDL của MS SQL nhé. Còn nếu bạn để ai đó ngồi trên máy có CSDL của bạn rồi thì ... dội cho nó 1 gáo nước, đảm bảo mất hết CSDL.
- Bảo mật bằng HĐH. Nếu bạn sử dụng máy chủ CSDL cài các hệ điều hành Windows Server của M$ và thiết lập Domain cùng với chính sách Policies chặt chẽ (thậm chí tới từng action như read/write tới 1 file, 1 thư mục) thì xin mời các IT xem họ có vào đó mà xơi CSDL được ko?
- Bảo mật bằng tính năng bảo mật của hệ CSDL. Hệ CSDL ở trường hợp này là MS SQL. Tôi ko nghĩ là có quá nhiều người ở VN có thể ngồi từ máy khác mà vượt qua được mức độ bảo mật của MS SQL để có thể vào được CSDL của doanh nghiệp (trước kia thì có vài lỗ hổng nhưng M$ giờ đã bịt kín gần hết rồi). Hơn nữa, bây giờ hệ CSDL nào cũng cho phép encript Database, nó ko chỉ mã hóa mấy cái store procedures, triggers mà còn mã hóa cả phần dữ liệu với những thuật toán mã hóa đã được chứng minh trên thế giới. Chưa hết, nếu thiết kế CSDL có quan hệ, với việc thay đổi hệ thống tên các tables, các tables đó lại quan hệ với nhau toàn qua ID, các tên trường được mã hóa hết thì tớ biếu các bạn file CSDL các bạn đọc cũng ko hiểu chứ đừng nói là có thể run mấy SQL của các bạn để trích được Database ra theo đúng mục đích.
- Ngoài ra, nếu các bạn thiết kế ứng dụng theo mô hình n-tiers thì CSDL còn được bảo mật ở 2 lớp nữa là lớp ứng dụng và lớp Business với các cơ chế mã hóa mật khẩu tiên tiến, các nghiệp vụ loằng ngoằng nằm trong các components ở các lớp trung gian. Ngồi ở máy trạm, vượt qua được 2 mức đó tớ nghĩ cũng đã là quá kinh khủng.

Như vậy, với cách thức bảo mật 5 lớp như trên, cách thiết kế CSDL và mô hình ứng dụng như trên thì xin mời các IT hack (từ máy khác).

Còn nếu bạn để người khác ngồi vào máy chứa CSDL của bạn thì chả cần copy hay mở mang gì đâu, detach cái rồi xóa xoẹt phát là xong (vì ko cần phải dùng tới cái "sa" account đâu mà vẫn có thể xóa & copy được như thường, CSDL của gì cũng thế - chứ đừng nói tới cái Access bé tý tẹo, stop service xong thì copy xóa thoải mái nếu người đó ngồi trên máy đó). Nhưng chả nhẽ bạn risk với số liệu kế toán của bạn đến thế cơ à?

Cảm ơn hai2hai,
Hôm nay mình được mở rộng tầm mắt, học thêm được nhiều về bảo mật dữ liệu!
Tuy nhiên, vấn đề của mình có hơi khác một chút! Công ty mình chỉ là 1 DN nhỏ (cũng như rất nhiều DN nhỏ khác ở VN) nên không có máy chủ thậm chí chỉ có 1 máy cài WinXP và phần mềm Misa Express. Bật máy lên là chạy không có đặt mật khẩu của WinXP gì cả (chỉ đặt Pw của Misa Express) và có vài NV khác biết chút ít về IT vẫn thỉnh thoảng sử dụng máy của mình (thậm chí dùng chung). Với mô hình công ty như vậy (mình tin là có rất nhiều Cty ở VN cũng như vậy) thì nếu CSDL kế toán chí ít là như của AccNet thì cũng hạn chế được sự "táy máy" của họ (Họ chưa đủ khả năng như bạn đâu !). Còn với Misa Express họ mở được ngay !(Vì ko có pw). Tại sao Misa Express không đặt Pw cho CSDL của mình như AccNet, ít ra cũng ngăn ngừa được sự táy máy của một số người "biết một mà ko biết mười" ! Như vậy những người kế toán (trình độ tin học còn hạn chế) như mình yên tâm hơn không? Đối tượng sử dụng Misa Express đại đa số là DN vừa và nhỏ, họ đâu có máy chủ riêng biệt, đâu có Quản trị mạng, và Giám đốc thì chỉ biết lo kinh doanh và báo cáo kế toán Ok là được! (Nên chắc ko ý thức được về chính sách bảo mật).
Bạn thử nghĩ xem: dữ liệu kế toán của mình (=Misa Express) đã được bảo vệ bằng Pw của Misa Express, mình đã nộp báo cáo. Nhưng một ngày nào đó, mở lại báo cáo thì nó lại thay đổi (bởi một ai đó cố tình hại mình) so với bản đã nộp! Chắc mình chỉ có nước bỏ của chạy lấy người!
Mong bạn hai2hai giúp mình với!
Công ty mình nhỏ nên chẳng có anh IT nào giỏi như bạn đâu !
 
M

MISASALES

Guest
24/11/07
70
0
0
HN
www.misa.com.vn
-------
Cảm ơn các anh Misa đã cho biết thêm thông tin!
Ý mình là: File dữ liệu kế toán của AccNet (=Access 2000) được bảo mật, không ai có thể mở được (trừ Lạc Việt), còn file dữ liệu của Misa Express 7.9 (=SQL Desktop Engine ) vẫn có thể dùng SQL 2000 mở ra bình thường. Vậy thì mật khẩu đăng nhập vào Misa Express có ý nghĩa gì ko khi mà vẫn mở được bằng SQL 2000 (không có mật khẩu gì cả). Nếu Công ty mình có vài anh IT biết chút ít về SQL 2000 có thể mở ra và "chọt" gì đó thì làm sao mình yên tâm với dữ liệu kế toán của mình được?

Thân gửi bạn Vũ Văn Tình,
Để tránh việc cơ dữ liệu có thể bị "táy máy" bạn làm như sau: chạy MISA, chọn "Chỉ đăng nhập vào máy chủ", vào menu Tệp -> Tiện ích khác -> Thay đổi mật khẩu sa. Tại ô "Mật khẩu cũ" bạn nhập vào "sa", còn ô mật khẩu mới và xác nhận mật khẩu mới bạn gõ mật khẩu mới của bạn vào.
Sau khi đặt mật khẩu như trên, mấy anh IT sẽ không thể sử dụng SQLServer để mở dữ liệu của bạn được nữa.
Chúc bạn một năm mới sức khỏe, hạnh phúc và thành đạt!
Thân chào.
 
V

Vũ Văn Tình

Guest
2/11/04
4
0
0
40
Ho Chi Minh City
Thân gửi bạn Vũ Văn Tình,
Để tránh việc cơ dữ liệu có thể bị "táy máy" bạn làm như sau: chạy MISA, chọn "Chỉ đăng nhập vào máy chủ", vào menu Tệp -> Tiện ích khác -> Thay đổi mật khẩu sa. Tại ô "Mật khẩu cũ" bạn nhập vào "sa", còn ô mật khẩu mới và xác nhận mật khẩu mới bạn gõ mật khẩu mới của bạn vào.
Sau khi đặt mật khẩu như trên, mấy anh IT sẽ không thể sử dụng SQLServer để mở dữ liệu của bạn được nữa.
Chúc bạn một năm mới sức khỏe, hạnh phúc và thành đạt!
Thân chào.

Cảm ơn MISASALES, mình sẽ làm theo hướng dẫn đó!
 
T

thienvc

Sơ cấp
22/7/09
7
0
1
41
Vinh
Sau 12 năm, vấn đề này vẫn còn. Tôi tìm mỏi mắt không thấy chỗ đổi MK sa và MK misasme2017. Tôi dùng bản 2017 R38
 
T

thienvc

Sơ cấp
22/7/09
7
0
1
41
Vinh
Xác nhận: Lỗi bảo mật này vẫn luôn tồn tại, bất cứ nhân viên kế toán nào chỉ cần làm theo hướng dẫn thao tác với SQLServer đều có thể xoá sạch, hoặc lấy về, hoặc tự reset mật khẩu admin nếu muốn.
Misa đã xác nhận là không thể thay đổi mật khẩu mặc định abc***** của DBUser misasme2017.
Một lỗi sơ đẳng về bảo mật nhưng misa đã bỏ qua.
 
Sửa lần cuối:

Xem nhiều

Webketoan Zalo OA