А как же защита?

В этом форуме Вы можете высказать пожелания к новым версиям программы: какая функциональность должна появиться, что в программе лишнее, чего не хватает, что хочется видеть в другом ракурсе и т.д. Мы обязательно рассмотрим все Ваши предложения и советы по улучшению программы.

Модератор: Анастасия

А как же защита?

Сообщение keshuny » Вс июн 22, 2008 3:35 pm

Знакомлюсь с MoneyTracker, все так нравилось, пока не обнаружилось отсутствие хоть какой то защиты данных...

Мне кажется, любая система хранящая информацию о финансовых средствах должна начинать свою рекламу как раз с этого момента, как и чем всё шифруется, как организована защита данных... ну прям расстроился, честное слово, второй день подбираю подобную программу и уже думал что нашёл то что нужно... :-(
keshuny
Новичок
Новичок
 
Сообщения: 1
Зарегистрирован: Вс июн 22, 2008 3:21 pm

Сообщение Дмитрий » Ср июн 25, 2008 3:29 pm

Знакомлюсь с MoneyTracker, все так нравилось, пока не обнаружилось отсутствие хоть какой то защиты данных...

Мне кажется, любая система хранящая информацию о финансовых средствах должна начинать свою рекламу как раз с этого момента, как и чем всё шифруется, как организована защита данных... ну прям расстроился, честное слово, второй день подбираю подобную программу и уже думал что нашёл то что нужно...


Боюсь Вас разочаровать, но шифрование практически несовместимо с такими понятиями как многопользовательская работа и приемлемая производительность. Если шифровать данные, то каждый пользователь должен вводить некоторый ключ (пароль), при помощи которого эти данные можно будет расшифровать, но тогда у всех пользователей должен быть один и тот же ключ, а что знают двое, то, как известно, знают все. Есть еще вариант с защитой данных, когда у Вас есть сервер под замком с автоматчиком :), на котором хранятся данные в незашифрованном виде, а пользователей туда пускают только после авторизации. Такая система на порядок гибче и достаточно легко могла бы быть реализована в MoneyTracker, но требует наличия выделенного сервера, так что ее применение нецелесообразно для программы такого класса.
Боюсь, что Вам будет трудно найти программу для ведения домашних финансов, поддерживающую шифрование данных. Единственной такой программой является, пожалуй, AbilityCash, но у реализованного там подхода есть свои плюсы и минусы, о которых я могу написать Вам в личку, если это интересно.
Дмитрий
Разработчик
Разработчик
 
Сообщения: 1657
Зарегистрирован: Ср ноя 21, 2007 7:18 am

Сообщение poa » Сб июн 28, 2008 10:45 am

keshuny:
Для таких случаев вполне адекватным решением, на мой взгляд, будет использование программ, создающих виртуальный шифрованный диск. Например, бесплатный комплекс TrueCrypt.
Там и степень защиты высока, поскольку это специализированный проект, и можно хранить другие данные, требующие шифрования.
А городить огород с шифрование в MoneyTracker смысла не имеет - хватает других задач более важных с точки зрения именно учета финансов и повышения юзабилити программы.
poa
Опытный пользователь
Опытный пользователь
 
Сообщения: 65
Зарегистрирован: Сб фев 16, 2008 7:50 am
Откуда: Tomsk

Сообщение Дмитрий » Вт июл 01, 2008 4:51 pm

keshuny:
Для таких случаев вполне адекватным решением, на мой взгляд, будет использование программ, создающих виртуальный шифрованный диск. Например, бесплатный комплекс TrueCrypt.
Там и степень защиты высока, поскольку это специализированный проект, и можно хранить другие данные, требующие шифрования.
А городить огород с шифрование в MoneyTracker смысла не имеет - хватает других задач более важных с точки зрения именно учета финансов и повышения юзабилити программы.

Прямо в точку :) Как раз думал на днях над этим вопросом и пришел к выводу, что наиболее правильным решением будет использование специализированного ПО.
Дмитрий
Разработчик
Разработчик
 
Сообщения: 1657
Зарегистрирован: Ср ноя 21, 2007 7:18 am

Сообщение grom » Вт июл 01, 2008 4:58 pm

Дмитрий писал(а):
Знакомлюсь с MoneyTracker, все так нравилось, пока не обнаружилось отсутствие хоть какой то защиты данных...

Мне кажется, любая система хранящая информацию о финансовых средствах должна начинать свою рекламу как раз с этого момента, как и чем всё шифруется, как организована защита данных... ну прям расстроился, честное слово, второй день подбираю подобную программу и уже думал что нашёл то что нужно...


Боюсь Вас разочаровать, но шифрование практически несовместимо с такими понятиями как многопользовательская работа и приемлемая производительность. Если шифровать данные, то каждый пользователь должен вводить некоторый ключ (пароль), при помощи которого эти данные можно будет расшифровать, но тогда у всех пользователей должен быть один и тот же ключ, а что знают двое, то, как известно, знают все. Есть еще вариант с защитой данных, когда у Вас есть сервер под замком с автоматчиком :),


Извините, а Веб-Мани, это не многопользовательская система? Или она не криптованная?
Банковские системы с защитой данных на дисках, это тоже видимо не многопользовательская система?
А как быть тогда с шифрованием траффика в защищенном протоколе?

Вы демонстрируете полное незнание темы. Зачем? Трудно честно признаться, что специалистам по БД неизвестны базовые принципы теории защиты данных?

Я вам продемонстрирую 2 самых простых метода.
Первый, ВебМани, держит ключи авторизации и криптования на вашей локальной машине. Расшифровка данных происходит на вашей машине. При этом дял расшифровки используют оба ключа. Они не зависят от пароля, генеряться по схожей методике, как UUID в Windows.

Второй метод, когда идет речб о защите данных в локальной сети с ограниченным колличеством пользователей, серверная часть аппликации генерит ключи криптования либо под каждого пользователя, но чаще глобально. Данные шифруются по типам, разными наборами ключей, и не зависят от того, кто их смотрит. Просто доступ к набору ключей, чаще всего хранящемуся на другом сервере не имеющего доступа к компьютерам пользрователей, осуществляется с помощью ключа доступа пользователя и го пароля. Ключ дсотупа генерится в процессе регистрации тоже автоматически. Пароль модно выбирать пользователю. Обычно доступ в локальной сети дополнительно привязывают к локальному IP пользовательской машине.

Ни в одном из вышеперечисленых случаев шифрование данных дял хранения не зависит ни от того, кто пользователь, кто их вносит, ни, тем более от того, кто их смотрит. Это всего-лишь уровни доступа.

Ключи от 128 бит в принципе не могут быть расшифрованы в обозримом будущем без точного знания ключа, в текущих компьютерных мощностях.

А вы еще продаете сетевую версию...
grom
Новичок
Новичок
 
Сообщения: 1
Зарегистрирован: Вт июл 01, 2008 4:33 pm

Сообщение Дмитрий » Ср июл 02, 2008 6:55 am

Извините, а Веб-Мани, это не многопользовательская система? Или она не криптованная?
Банковские системы с защитой данных на дисках, это тоже видимо не многопользовательская система?
А как быть тогда с шифрованием траффика в защищенном протоколе?

Вы демонстрируете полное незнание темы. Зачем? Трудно честно признаться, что специалистам по БД неизвестны базовые принципы теории защиты данных?

Я вам продемонстрирую 2 самых простых метода.
Первый, ВебМани, держит ключи авторизации и криптования на вашей локальной машине. Расшифровка данных происходит на вашей машине. При этом дял расшифровки используют оба ключа. Они не зависят от пароля, генеряться по схожей методике, как UUID в Windows.

Второй метод, когда идет речб о защите данных в локальной сети с ограниченным колличеством пользователей, серверная часть аппликации генерит ключи криптования либо под каждого пользователя, но чаще глобально. Данные шифруются по типам, разными наборами ключей, и не зависят от того, кто их смотрит. Просто доступ к набору ключей, чаще всего хранящемуся на другом сервере не имеющего доступа к компьютерам пользрователей, осуществляется с помощью ключа доступа пользователя и го пароля. Ключ дсотупа генерится в процессе регистрации тоже автоматически. Пароль модно выбирать пользователю. Обычно доступ в локальной сети дополнительно привязывают к локальному IP пользовательской машине.

Ни в одном из вышеперечисленых случаев шифрование данных дял хранения не зависит ни от того, кто пользователь, кто их вносит, ни, тем более от того, кто их смотрит. Это всего-лишь уровни доступа.

Ключи от 128 бит в принципе не могут быть расшифрованы в обозримом будущем без точного знания ключа, в текущих компьютерных мощностях.

А вы еще продаете сетевую версию...

Во всех приведенных Вами случаях данные хранятся на отдельном сервере в открытом виде. А вот передача данных уже шифруется, т.е. происходит криптографическая защита не данных, а передачи данных, что совершенно разные вещи. Разумеется, такой способ реализуем, собственно, это я и имел ввиду, говоря про сервер под замком. В случае нашей программы наладить это возможно только если выделить сервер, в случае локальной базы данных у 99% наших клиентов это бессмысленно.
Дмитрий
Разработчик
Разработчик
 
Сообщения: 1657
Зарегистрирован: Ср ноя 21, 2007 7:18 am

Re: А как же защита?

Сообщение cbeugene » Пн июл 28, 2008 8:57 pm

keshuny писал(а):Знакомлюсь с MoneyTracker, все так нравилось, пока не обнаружилось отсутствие хоть какой то защиты данных...

Мне кажется, любая система хранящая информацию о финансовых средствах должна начинать свою рекламу как раз с этого момента, как и чем всё шифруется, как организована защита данных... ну прям расстроился, честное слово, второй день подбираю подобную программу и уже думал что нашёл то что нужно... :-(

Если Вы ТАК заботитесь о сохранности данных - советую посмотреть что творится у программ используемых на 90% предприятий малого и среднего бизнеса - 1С (хоть 6.0 хоть 7.5 и 7.7 хоть 8.0 и 8.1): ни у одной версии этого программного комплекса (и у конкурентов, насколько мне известно тоже) нет встроенных механизмов шифрования. Потому что если оно надо то все организуется дополнительно. Кстати, настоятельно рекомендую познакомиться с программой True Crypt -отличная вещь для организации защищенных файл боксов, шифрования разделов и т.п. MoneyTracker в локальной версии идеально подходит для размещения на зашифрованом носителе, т.к. хранит данные в одном файле. Кстати, начиная с WinXP Вы можете использовать шифрование встроенное в Windows - EFS.
cbeugene
Новичок
Новичок
 
Сообщения: 18
Зарегистрирован: Пн мар 10, 2008 9:36 am

Сообщение cbeugene » Пн июл 28, 2008 9:09 pm

grom писал(а):Вы демонстрируете полное незнание темы. Зачем? Трудно честно признаться, что специалистам по БД неизвестны базовые принципы теории защиты данных?
А вы еще продаете сетевую версию...

Как бы помягче Вас попросить сходить к разработчикам допустим банковских систем и им тоже самое сказать? Защищается канал передачи данных. В самом банке в среде MSSQL или Oracle Ваши данные ( О УЖАС! ) тоже находятся в нешифрованом виде. Просто к тем серверам каждого прохожего не пускают. Если очень надо - ну поставьте Stunnel например между MoneyTracker и Firebird. И сертификат туда воткните или пароль любой длинны. Или еще лучше работайте через VPN с сервером MoneyTracker. Вы у себя дома от кого защищаться то собрались? Если у вас в памяти висит программа или процесс сервера БД то хакер проникший в вашу систему в момент выполнения вышеозначенных процессов всеравно добудет данные будь они на шифрованых дисках или передаются завернутые в IPSEC или SSL. Защищаться надо от проникновения извне (хороший антивирус + фаервол). При ваших требованиях я бы посоветовал использовать компьютер в экранированном (от электромагнитных излучений) помещении и без интернета. И флэшки никакие никогда не втыкать.
PS: Забыл еще вот что Вам, уважаемый, посоветовать: сходите к создателям например TrueCrypt (www.truecrypt.org) и объясните им как правильно шифровать файлы, а то парни то без Вас наверняка напортачили :lol: И расскажите им наконец как писать программы для бухгалтерии а то у них в TrueCrypt никак ни счет ни создать ни расход списать, а то понимаешь шифрование есть а бухгалтерии нет. Непорядок. Разберитесь, ведь Вы борец с безграмотностью разработчиков.
cbeugene
Новичок
Новичок
 
Сообщения: 18
Зарегистрирован: Пн мар 10, 2008 9:36 am

Сообщение Pylenok » Вт июн 16, 2009 9:48 pm

Программа использует FireBird, и это хороший выбор для приложений данного класса.

Между программой "Домашняя бухгалтерия" которая использует "шифрованные" таблицы Paradox и программой MoneyTracker которая
использует нормальную (полноценную) СУБД без шифрования я
однозначно выбираю MoneyTracker

Я перебрал несколько аналогичных программ и хотел было уже писать свою собственную, пока не наткнулся на MoneyTracker.
Никаких замечаний нет, все устраивает.

Обычно я никогда не оплачиваю лицензию и использую Warez, но похоже через пару дней тестирования, MoneyTracker будет у меня второй программой (после компонент фирмы devrace), к которой я оплачу лицензию.
Pylenok
Новичок
Новичок
 
Сообщения: 5
Зарегистрирован: Вт июн 16, 2009 9:29 pm

Несложное решение для одного пользователя

Сообщение transmind » Вт июн 23, 2009 5:40 pm

Вопрос защиты данных тоже заинтересовал сразу при заполнении данных.
Пароль не дает видеть только gui, а внутри файлов видны и названия и счетов и прочее. Полагаю, распарсить это и выдать всю инфу было бы несложно. Да и хранить персональную инфу на диске С:, который вместе с системой слететь может, как-то неуютно.

В меню, к сожалению, ничего не оказалось по части смены расположения файла, но внутри ini прописываю путь на шифрованный раздел, перемещаю туда файлы. Пока запустилось:)
transmind
Новичок
Новичок
 
Сообщения: 1
Зарегистрирован: Вт июн 23, 2009 5:30 pm
Откуда: питер

Сообщение Sergey » Ср июн 24, 2009 9:59 pm

Полностью согласен с разработчиками - если Вы действительно нуждаетесь в серьезной защите данных - лучше использовать специально предназначенные для этого инструменты, чем лепить что-то непонятное, что усложнит продукт и увеличит его стоимость.
Использование стандартных механизмов хранения и обработки данных, к тому же, таких хороших как Firebird (а не Paradox и т.п.), делает продукт только гибче и привлекательнее. Поверьте, я говорю это как профессионал в области разработки ПО.
Хотел бы порекомендовать разработчикам увеличить преимущества своего продукта за счет партнерских программ с другими разработчиками. Например, проанализировать какие сопутствующие продукты востребованы Вашими клиентами и договориться с их авторами о предоставлении взаимных скидок. Например, с разработчиками средств защиты информации....
Таким образом, Вы увеличите продажи за счет клиентов партнера, а он за счет Ваших. И Вам хорошо, и клиенты в плюсе :)
Sergey
Новичок
Новичок
 
Сообщения: 15
Зарегистрирован: Сб апр 04, 2009 6:09 pm
Откуда: Тирасполь

Сообщение Дмитрий » Чт июн 25, 2009 6:56 am

Sergey писал(а):Хотел бы порекомендовать разработчикам увеличить преимущества своего продукта за счет партнерских программ с другими разработчиками. Например, проанализировать какие сопутствующие продукты востребованы Вашими клиентами и договориться с их авторами о предоставлении взаимных скидок. Например, с разработчиками средств защиты информации....
Таким образом, Вы увеличите продажи за счет клиентов партнера, а он за счет Ваших. И Вам хорошо, и клиенты в плюсе :)


Большое спасибо за совет! :) Обязательно подумаем, как можно это организовать.
Дмитрий
Разработчик
Разработчик
 
Сообщения: 1657
Зарегистрирован: Ср ноя 21, 2007 7:18 am


Вернуться в Пожелания и предложения

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7

cron