А как же защита?

В этом форуме Вы можете высказать пожелания к новым версиям программы: какая функциональность должна появиться, что в программе лишнее, чего не хватает, что хочется видеть в другом ракурсе и т.д. Мы обязательно рассмотрим все Ваши предложения и советы по улучшению программы.

Модератор: Анастасия

Ответить
keshuny
Новичок
Новичок
Сообщения: 1
Зарегистрирован: Вс июн 22, 2008 3:21 pm

А как же защита?

Сообщение keshuny »

Знакомлюсь с MoneyTracker, все так нравилось, пока не обнаружилось отсутствие хоть какой то защиты данных...

Мне кажется, любая система хранящая информацию о финансовых средствах должна начинать свою рекламу как раз с этого момента, как и чем всё шифруется, как организована защита данных... ну прям расстроился, честное слово, второй день подбираю подобную программу и уже думал что нашёл то что нужно... :-(

Дмитрий
Разработчик
Разработчик
Сообщения: 1690
Зарегистрирован: Ср ноя 21, 2007 6:18 am
Контактная информация:

Сообщение Дмитрий »

Знакомлюсь с MoneyTracker, все так нравилось, пока не обнаружилось отсутствие хоть какой то защиты данных...

Мне кажется, любая система хранящая информацию о финансовых средствах должна начинать свою рекламу как раз с этого момента, как и чем всё шифруется, как организована защита данных... ну прям расстроился, честное слово, второй день подбираю подобную программу и уже думал что нашёл то что нужно...
Боюсь Вас разочаровать, но шифрование практически несовместимо с такими понятиями как многопользовательская работа и приемлемая производительность. Если шифровать данные, то каждый пользователь должен вводить некоторый ключ (пароль), при помощи которого эти данные можно будет расшифровать, но тогда у всех пользователей должен быть один и тот же ключ, а что знают двое, то, как известно, знают все. Есть еще вариант с защитой данных, когда у Вас есть сервер под замком с автоматчиком :), на котором хранятся данные в незашифрованном виде, а пользователей туда пускают только после авторизации. Такая система на порядок гибче и достаточно легко могла бы быть реализована в MoneyTracker, но требует наличия выделенного сервера, так что ее применение нецелесообразно для программы такого класса.
Боюсь, что Вам будет трудно найти программу для ведения домашних финансов, поддерживающую шифрование данных. Единственной такой программой является, пожалуй, AbilityCash, но у реализованного там подхода есть свои плюсы и минусы, о которых я могу написать Вам в личку, если это интересно.

poa
Опытный пользователь
Опытный пользователь
Сообщения: 65
Зарегистрирован: Сб фев 16, 2008 6:50 am
Откуда: Tomsk
Контактная информация:

Сообщение poa »

keshuny:
Для таких случаев вполне адекватным решением, на мой взгляд, будет использование программ, создающих виртуальный шифрованный диск. Например, бесплатный комплекс TrueCrypt.
Там и степень защиты высока, поскольку это специализированный проект, и можно хранить другие данные, требующие шифрования.
А городить огород с шифрование в MoneyTracker смысла не имеет - хватает других задач более важных с точки зрения именно учета финансов и повышения юзабилити программы.

Дмитрий
Разработчик
Разработчик
Сообщения: 1690
Зарегистрирован: Ср ноя 21, 2007 6:18 am
Контактная информация:

Сообщение Дмитрий »

keshuny:
Для таких случаев вполне адекватным решением, на мой взгляд, будет использование программ, создающих виртуальный шифрованный диск. Например, бесплатный комплекс TrueCrypt.
Там и степень защиты высока, поскольку это специализированный проект, и можно хранить другие данные, требующие шифрования.
А городить огород с шифрование в MoneyTracker смысла не имеет - хватает других задач более важных с точки зрения именно учета финансов и повышения юзабилити программы.
Прямо в точку :) Как раз думал на днях над этим вопросом и пришел к выводу, что наиболее правильным решением будет использование специализированного ПО.

grom
Новичок
Новичок
Сообщения: 1
Зарегистрирован: Вт июл 01, 2008 4:33 pm

Сообщение grom »

Дмитрий писал(а):
Знакомлюсь с MoneyTracker, все так нравилось, пока не обнаружилось отсутствие хоть какой то защиты данных...

Мне кажется, любая система хранящая информацию о финансовых средствах должна начинать свою рекламу как раз с этого момента, как и чем всё шифруется, как организована защита данных... ну прям расстроился, честное слово, второй день подбираю подобную программу и уже думал что нашёл то что нужно...
Боюсь Вас разочаровать, но шифрование практически несовместимо с такими понятиями как многопользовательская работа и приемлемая производительность. Если шифровать данные, то каждый пользователь должен вводить некоторый ключ (пароль), при помощи которого эти данные можно будет расшифровать, но тогда у всех пользователей должен быть один и тот же ключ, а что знают двое, то, как известно, знают все. Есть еще вариант с защитой данных, когда у Вас есть сервер под замком с автоматчиком :),
Извините, а Веб-Мани, это не многопользовательская система? Или она не криптованная?
Банковские системы с защитой данных на дисках, это тоже видимо не многопользовательская система?
А как быть тогда с шифрованием траффика в защищенном протоколе?

Вы демонстрируете полное незнание темы. Зачем? Трудно честно признаться, что специалистам по БД неизвестны базовые принципы теории защиты данных?

Я вам продемонстрирую 2 самых простых метода.
Первый, ВебМани, держит ключи авторизации и криптования на вашей локальной машине. Расшифровка данных происходит на вашей машине. При этом дял расшифровки используют оба ключа. Они не зависят от пароля, генеряться по схожей методике, как UUID в Windows.

Второй метод, когда идет речб о защите данных в локальной сети с ограниченным колличеством пользователей, серверная часть аппликации генерит ключи криптования либо под каждого пользователя, но чаще глобально. Данные шифруются по типам, разными наборами ключей, и не зависят от того, кто их смотрит. Просто доступ к набору ключей, чаще всего хранящемуся на другом сервере не имеющего доступа к компьютерам пользрователей, осуществляется с помощью ключа доступа пользователя и го пароля. Ключ дсотупа генерится в процессе регистрации тоже автоматически. Пароль модно выбирать пользователю. Обычно доступ в локальной сети дополнительно привязывают к локальному IP пользовательской машине.

Ни в одном из вышеперечисленых случаев шифрование данных дял хранения не зависит ни от того, кто пользователь, кто их вносит, ни, тем более от того, кто их смотрит. Это всего-лишь уровни доступа.

Ключи от 128 бит в принципе не могут быть расшифрованы в обозримом будущем без точного знания ключа, в текущих компьютерных мощностях.

А вы еще продаете сетевую версию...

Дмитрий
Разработчик
Разработчик
Сообщения: 1690
Зарегистрирован: Ср ноя 21, 2007 6:18 am
Контактная информация:

Сообщение Дмитрий »

Извините, а Веб-Мани, это не многопользовательская система? Или она не криптованная?
Банковские системы с защитой данных на дисках, это тоже видимо не многопользовательская система?
А как быть тогда с шифрованием траффика в защищенном протоколе?

Вы демонстрируете полное незнание темы. Зачем? Трудно честно признаться, что специалистам по БД неизвестны базовые принципы теории защиты данных?

Я вам продемонстрирую 2 самых простых метода.
Первый, ВебМани, держит ключи авторизации и криптования на вашей локальной машине. Расшифровка данных происходит на вашей машине. При этом дял расшифровки используют оба ключа. Они не зависят от пароля, генеряться по схожей методике, как UUID в Windows.

Второй метод, когда идет речб о защите данных в локальной сети с ограниченным колличеством пользователей, серверная часть аппликации генерит ключи криптования либо под каждого пользователя, но чаще глобально. Данные шифруются по типам, разными наборами ключей, и не зависят от того, кто их смотрит. Просто доступ к набору ключей, чаще всего хранящемуся на другом сервере не имеющего доступа к компьютерам пользрователей, осуществляется с помощью ключа доступа пользователя и го пароля. Ключ дсотупа генерится в процессе регистрации тоже автоматически. Пароль модно выбирать пользователю. Обычно доступ в локальной сети дополнительно привязывают к локальному IP пользовательской машине.

Ни в одном из вышеперечисленых случаев шифрование данных дял хранения не зависит ни от того, кто пользователь, кто их вносит, ни, тем более от того, кто их смотрит. Это всего-лишь уровни доступа.

Ключи от 128 бит в принципе не могут быть расшифрованы в обозримом будущем без точного знания ключа, в текущих компьютерных мощностях.

А вы еще продаете сетевую версию...
Во всех приведенных Вами случаях данные хранятся на отдельном сервере в открытом виде. А вот передача данных уже шифруется, т.е. происходит криптографическая защита не данных, а передачи данных, что совершенно разные вещи. Разумеется, такой способ реализуем, собственно, это я и имел ввиду, говоря про сервер под замком. В случае нашей программы наладить это возможно только если выделить сервер, в случае локальной базы данных у 99% наших клиентов это бессмысленно.

cbeugene
Новичок
Новичок
Сообщения: 18
Зарегистрирован: Пн мар 10, 2008 8:36 am

Re: А как же защита?

Сообщение cbeugene »

keshuny писал(а):Знакомлюсь с MoneyTracker, все так нравилось, пока не обнаружилось отсутствие хоть какой то защиты данных...

Мне кажется, любая система хранящая информацию о финансовых средствах должна начинать свою рекламу как раз с этого момента, как и чем всё шифруется, как организована защита данных... ну прям расстроился, честное слово, второй день подбираю подобную программу и уже думал что нашёл то что нужно... :-(
Если Вы ТАК заботитесь о сохранности данных - советую посмотреть что творится у программ используемых на 90% предприятий малого и среднего бизнеса - 1С (хоть 6.0 хоть 7.5 и 7.7 хоть 8.0 и 8.1): ни у одной версии этого программного комплекса (и у конкурентов, насколько мне известно тоже) нет встроенных механизмов шифрования. Потому что если оно надо то все организуется дополнительно. Кстати, настоятельно рекомендую познакомиться с программой True Crypt -отличная вещь для организации защищенных файл боксов, шифрования разделов и т.п. MoneyTracker в локальной версии идеально подходит для размещения на зашифрованом носителе, т.к. хранит данные в одном файле. Кстати, начиная с WinXP Вы можете использовать шифрование встроенное в Windows - EFS.

cbeugene
Новичок
Новичок
Сообщения: 18
Зарегистрирован: Пн мар 10, 2008 8:36 am

Сообщение cbeugene »

grom писал(а):Вы демонстрируете полное незнание темы. Зачем? Трудно честно признаться, что специалистам по БД неизвестны базовые принципы теории защиты данных?
А вы еще продаете сетевую версию...
Как бы помягче Вас попросить сходить к разработчикам допустим банковских систем и им тоже самое сказать? Защищается канал передачи данных. В самом банке в среде MSSQL или Oracle Ваши данные ( О УЖАС! ) тоже находятся в нешифрованом виде. Просто к тем серверам каждого прохожего не пускают. Если очень надо - ну поставьте Stunnel например между MoneyTracker и Firebird. И сертификат туда воткните или пароль любой длинны. Или еще лучше работайте через VPN с сервером MoneyTracker. Вы у себя дома от кого защищаться то собрались? Если у вас в памяти висит программа или процесс сервера БД то хакер проникший в вашу систему в момент выполнения вышеозначенных процессов всеравно добудет данные будь они на шифрованых дисках или передаются завернутые в IPSEC или SSL. Защищаться надо от проникновения извне (хороший антивирус + фаервол). При ваших требованиях я бы посоветовал использовать компьютер в экранированном (от электромагнитных излучений) помещении и без интернета. И флэшки никакие никогда не втыкать.
PS: Забыл еще вот что Вам, уважаемый, посоветовать: сходите к создателям например TrueCrypt (www.truecrypt.org) и объясните им как правильно шифровать файлы, а то парни то без Вас наверняка напортачили :lol: И расскажите им наконец как писать программы для бухгалтерии а то у них в TrueCrypt никак ни счет ни создать ни расход списать, а то понимаешь шифрование есть а бухгалтерии нет. Непорядок. Разберитесь, ведь Вы борец с безграмотностью разработчиков.

Pylenok
Новичок
Новичок
Сообщения: 5
Зарегистрирован: Вт июн 16, 2009 9:29 pm

Сообщение Pylenok »

Программа использует FireBird, и это хороший выбор для приложений данного класса.

Между программой "Домашняя бухгалтерия" которая использует "шифрованные" таблицы Paradox и программой MoneyTracker которая
использует нормальную (полноценную) СУБД без шифрования я
однозначно выбираю MoneyTracker

Я перебрал несколько аналогичных программ и хотел было уже писать свою собственную, пока не наткнулся на MoneyTracker.
Никаких замечаний нет, все устраивает.

Обычно я никогда не оплачиваю лицензию и использую Warez, но похоже через пару дней тестирования, MoneyTracker будет у меня второй программой (после компонент фирмы devrace), к которой я оплачу лицензию.

transmind
Новичок
Новичок
Сообщения: 1
Зарегистрирован: Вт июн 23, 2009 5:30 pm
Откуда: питер

Несложное решение для одного пользователя

Сообщение transmind »

Вопрос защиты данных тоже заинтересовал сразу при заполнении данных.
Пароль не дает видеть только gui, а внутри файлов видны и названия и счетов и прочее. Полагаю, распарсить это и выдать всю инфу было бы несложно. Да и хранить персональную инфу на диске С:, который вместе с системой слететь может, как-то неуютно.

В меню, к сожалению, ничего не оказалось по части смены расположения файла, но внутри ini прописываю путь на шифрованный раздел, перемещаю туда файлы. Пока запустилось:)

Sergey
Новичок
Новичок
Сообщения: 15
Зарегистрирован: Сб апр 04, 2009 6:09 pm
Откуда: Тирасполь

Сообщение Sergey »

Полностью согласен с разработчиками - если Вы действительно нуждаетесь в серьезной защите данных - лучше использовать специально предназначенные для этого инструменты, чем лепить что-то непонятное, что усложнит продукт и увеличит его стоимость.
Использование стандартных механизмов хранения и обработки данных, к тому же, таких хороших как Firebird (а не Paradox и т.п.), делает продукт только гибче и привлекательнее. Поверьте, я говорю это как профессионал в области разработки ПО.
Хотел бы порекомендовать разработчикам увеличить преимущества своего продукта за счет партнерских программ с другими разработчиками. Например, проанализировать какие сопутствующие продукты востребованы Вашими клиентами и договориться с их авторами о предоставлении взаимных скидок. Например, с разработчиками средств защиты информации....
Таким образом, Вы увеличите продажи за счет клиентов партнера, а он за счет Ваших. И Вам хорошо, и клиенты в плюсе :)

Дмитрий
Разработчик
Разработчик
Сообщения: 1690
Зарегистрирован: Ср ноя 21, 2007 6:18 am
Контактная информация:

Сообщение Дмитрий »

Sergey писал(а): Хотел бы порекомендовать разработчикам увеличить преимущества своего продукта за счет партнерских программ с другими разработчиками. Например, проанализировать какие сопутствующие продукты востребованы Вашими клиентами и договориться с их авторами о предоставлении взаимных скидок. Например, с разработчиками средств защиты информации....
Таким образом, Вы увеличите продажи за счет клиентов партнера, а он за счет Ваших. И Вам хорошо, и клиенты в плюсе :)
Большое спасибо за совет! :) Обязательно подумаем, как можно это организовать.

Ответить