Посоветуйте программу учета товара.

[FinSoft]

Смотрите, что я имел ввиду. В подобных системах всегда используется понятие "суперпользователь". Это пользователь, который имеет полный доступ ко всем данным системы без ограничений. Иначе нельзя обеспечить работоспособность системы. Например, может произойти какой-нибудь сбой и нужно провести восстановительные работы. Или изменяется структура базы данных в связи с развитием функционала программы. Всего не предусмотришь. Суперпользователь имеет свой логин/пароль. Он регистрирует других пользователей в системе, делегируя им те или иные полномочия - администраторов, сотрудников техподдержки, конечных пользователей. В том числе может делегировать кому-то регистрацию конечных пользователей сервиса. То есть, как правило, сам суперпользователь постоянно не работает в системе, только когда возникает необходимость. Все другие пользователи имеют права доступа, которые им разрешил суперпользователь или тот, кому суперпользователь делегировал право регистрации. В зависимости от архитектуры системы, распределение прав доступа может определяться на уровне сервера базы данных, прикладного приложения или быть комбинацией первого и второго. Таким образом, логин и пароль не определяют доступа к информации, они используются для проверки, что такой пользователь зарегистрирован в системе и выдачи разрешения на подключение к информационной системе. Далее все зависит от того, какие права предоставлены пользователю.

Возвращаясь к правильным программистам. Вряд ли корректно говорить, что система не хранит информации о логине и пароле пользователей. В любом случае процесс авторизации пользователя - это сравнение введенных значений с эталоном из базы данных. Хранение может быть в явном или в шифрованном виде. Сейчас самый популярный способ - использование сертификатов для сайтов (SSL), когда клиент (броузер) и сервер перед началом обмена обмениваются информацией о сертификате и динамически вырабатывают согласованный ключ шифрации. Но это все касается защиты от несанкционированного доступа извне. Там постоянно идет "гонка вооружений". Придумывают хорошую систему защиты, ее через какое-то время ломают, придумывают следующую...

Я же обратил внимание на возможности доступа к информации со стороны сотрудников сервиса. Об этом не пишут, уводя фокус на технические аспекты защиты от взлома извне.
Конечно, владелец сервиса может не пойти на сотрудничество с компетентными органами. Недавно был подобный резонансный пример, я имею ввиду Павла Дурова и созданный им сервис ВКонтакте. Но мне кажется, что надеяться на это наивно.
Можно сказать, что всегда есть надежда на то, что у Вас маленькая организация и анализировать информацию по Вам нерационально. Учитывайте при этом, что Вы потенциально можете не только подставиться сами, но и подставить своих контрагентов. То есть пользоваться сервисом можно, но держа в уме, что информация может попасть в чьи-то руки и чем Вам это будет грозить.

[Перевалова]

Цитата:

Конечно, владелец сервиса может не пойти на сотрудничество с компетентными органами. Недавно был подобный резонансный пример, я имею ввиду Павла Дурова и созданный им сервис ВКонтакте. Но мне кажется, что надеяться на это наивно.
Можно сказать, что всегда есть надежда на то, что у Вас маленькая организация и анализировать информацию по Вам нерационально. Учитывайте при этом, что Вы потенциально можете не только подставиться сами, но и подставить своих контрагентов. То есть пользоваться сервисом можно, но держа в уме, что информация может попасть в чьи-то руки и чем Вам это будет грозить.

Эх, все бы себя вели как Дуров....

А касательно маленькой организации - тут всё относительно. Что значит маленькая? У нас ИП могут на УСН сидеть до 100 сотрудников и 65 лямов прибыли в год. Т.е. считается ли компания с доходом в 5 миллионов в месяц маленькой? Такие уже вполне могут заинтересовать органы. Понятно, что если доход дай Бог до 100 тысяч доходит, то никому и дела нет до таких организаций.