Установлен безопасный режим выполнение операции. Павел чистов

Печать (Ctrl+P)

Объекты конфигурации

В случае необходимости использования на сервере «ненадежного» программного кода: внешние обработки или программный код, вводимый пользователем для использования в методах Выполнить() и Вычислить(), можно воспользоваться безопасным режимом работы.

В безопасном режиме:

  • Привилегированный режим отменяется .
  • Переход в привилегированный режим игнорируется .
  • Запрещены операции, приводящие к использованию внешних средств по отношению к платформе «1С:Предприятие» (включая неблокирующие аналоги указанных методов):
  • Механизмы COM:
    • COMОбъект();
    • ПолучитьCOMОбъект();
    • ОболочкаHTMLДокумента.ПолучитьCOMОбъект().
  • Загрузка внешних компонентов:
    • ЗагрузитьВнешнююКомпоненту();
    • ПодключитьВнешнююКомпоненту().
  • Доступ к файловой системе:
    • ЗначениеВФайл();
    • КопироватьФайл();
    • ОбъединитьФайлы();
    • ПереместитьФайл();
    • РазделитьФайл();
    • СоздатьКаталог();
    • УдалитьФайлы();
    • Новый Файл;
    • Новый xBase;
    • ЗаписьHTML.ОткрытьФайл();
    • ЧтениеHTML.ОткрытьФайл();
    • ЧтениеXML.ОткрытьФайл();
    • ЗаписьXML.ОткрытьФайл();
    • ЧтениеFastInfoset.ОткрытьФайл();
    • ЗаписьFastInfoset.ОткрытьФайл();
    • КаноническаяЗаписьXML.ОткрытьФайл();
    • ПреобразованиеXSL.ЗагрузитьИзФайла();
    • ЗаписьZipФайла.Открыть();
    • ЧтениеZipФайла.Открыть();
    • Новый ЧтениеТекста(), если первый параметр ‑ строка;
    • ЧтениеТекста.Открыть(), если первый параметр ‑ строка;
    • Новый ЗаписьТекста(), если первый параметр ‑ строка;
    • ЗаписьТекста.Открыть(), если первый параметр ‑ строка;
    • Новый ИзвлечениеТекста();
    • изменение свойства ИзвлечениеТекста.ИмяФайла;
    • ИзвлечениеТекста.Записать();
    • Новый Картинка(), если первый параметр ‑ строка;
    • Картинка.Записать();
    • Новый ДвоичныеДанные();
    • ДвоичныеДанные.Записать();
    • Новый ЗаписьДанных(), если первый параметр ‑ строка;
    • Новый ЧтениеДанных(), есть первый параметр ‑ строка;
    • все методы объекта МенеджерФайловыхПотоков;
    • Новый ФайловыйПоток();
    • ФорматированныйДокумент.Записать();
    • ГеографическаяСхема.Прочитать();
    • ГеографическаяСхема.Записать();
    • ГеографическаяСхема.Напечатать();
    • ТабличныйДокумент.Прочитать();
    • ТабличныйДокумент.Записать();
    • ТабличныйДокумент.Напечатать(); ГрафическаяСхема.Прочитать();
    • ГрафическаяСхема.Записать();
    • ГрафическаяСхема.Напечатать();
    • ТекстовыйДокумент.Прочитать();
    • ТекстовыйДокумент.Записать().
  • Доступ к Интернету:
    • Новый ИнтернетСоединение,
    • Новый ИнтернетПочта,
    • Новый ИнтернетПрокси,
    • Новый HTTPСоединение,
    • Новый FTPСоединение.

ВНИМАНИЕ! При выполнении запрещенных операций во время выполнения генерирует исключение.

Примечание. Внешние отчеты и обработки, открываемые с помощью меню Файл ‑ Открыть, выполняются в безопасном режиме, если у пользователя отсутствуют административные права доступа.

Количество включений безопасного режима должно совпадать с количеством выключений. Однако если внутри процедуры или функции происходило включение безопасного режима (один раз или более), но не происходило его выключение, то система автоматически выполнит выключение столько раз, сколько незавершенных включений было в покидаемой процедуре или функции.

Если в процедуре или функции вызовов метода УстановитьБезопасныйРежим(Ложь) сделано больше, чем вызовов метода УстановитьБезопасныйРежим(Истина) , то будет вызвано исключение.

Программная установка безопасного режима может потребоваться в том случае, когда разработчик конфигурации предполагает использование стороннего (по отношению к конфигурации) программного кода, надежность которого разработчик гарантировать не может. Примером такого кода является выполнение методов Выполнить() и Вычислить() в тех случаях, когда исполняемый код получается из внешнего мира. В этом случае хорошей практикой будет установка безопасного режима до выполнения этих методов:

// Формируется программный код, который следует исполнить // Возможно, что код загружается из внешних источников // или введен вручную ИсполняемыйКод = ПолучитьВыполняемыйКодИзВнешнегоМира(); // Включим безопасный режим УстановитьБезопасныйРежим(Истина); // Выполним потенциально опасный код Выполнить(ИсполняемыйКод); // Выключим безопасный режим УстановитьБезопасныйРежим(Ложь);

В некоторых случаях настройки безопасного режима могут конфликтовать с настройками привилегированного режима. Примером такого конфликта выступает проведение документа, для которого установлено свойство Привилегированный режим при проведении, из кода на встроенном языке, который выполняется в безопасном режиме. В этом случае привилегированный режим отключается, а попытки его включить игнорируются. В результате код на встроенном языке, который «рассчитывает» на включенный привилегированный режим, «сталкивается» с его отсутствием, что приводит к возникновению ошибок с неочевидными причинами появления. Для предотвращения такой ситуации, система «1С:Предприятие» автоматически отключает безопасный режим для обработчиков событий, которые доступны в модуле объекта или модуле менеджера, при условии, что исполняемый код на встроенном языке не располагается в расширении конфигурации. Такие обработчики отмечаются в синтакс-помощнике особым образом.

Также предоставляется возможность отключить безопасный режим из встроенного языка (если программный код, из которого выполняется попытка отключения, не находится в расширении конфигурации). Для отключения безопасного режима предназначен метод УстановитьОтключениеБезопасногоРежима() . Проверить, что безопасный режим в данный момент отключен (автоматически или с помощью вызова метода), можно с помощью метода ПолучитьОтключениеБезопасногоРежима().

В рамках одного метода на встроенном языке не может быть более одного уровня вложенности установки безопасного режима (вызовом метода УстановитьБезопасныйРежим()) и установки отключения безопасного режима (автоматически на время выполнения обработчиков событий объектов метаданных или вызовом метода УстановитьОтключениеБезопасногоРежима()). При попытке увеличить вложенность генерируется исключение:

// Корректное использование Процедура ИмяПроцедуры() УстановитьОтключениеБезопасногоРежима(Истина); УстановитьБезопасныйРежим(Истина); УстановитьБезопасныйРежим(Ложь); УстановитьОтключениеБезопасногоРежима(Ложь); КонецПроцедуры // Некорректное использование Процедура ИмяПроцедуры() УстановитьОтключениеБезопасногоРежима(Истина); УстановитьБезопасныйРежим(Истина); УстановитьОтключениеБезопасногоРежима(Ложь); // Исключение КонецПроцедуры Процедура ИмяПроцедуры() УстановитьБезопасныйРежим(Истина); УстановитьОтключениеБезопасногоРежима(Ложь); // Исключение КонецПроцедуры

Дело в том что при использовании клиент-серверного варианта работы 1С внешние обработки/отчеты открываются в безопасном режиме, в котором запрещено использование привилегированного режима. А привилегированный режим используется очень часто в типовых конфигурациях: формирование печатных форм, различные служебные проверки (регистрация обменов) и т.д. В результате, даже используя обычный отчет на СКД без формы (по умолчанию используется общая форма "ФормаОтчета") и сохраняя пользовательские настройки отчета (в соответствующий справочник), вы получите ошибку о недостаточности прав доступа на различные константы и параметры сеанса, используемые в служебных целях после строки УстановитьПривилегированныйРежим(Истина) ;

"Правильным" решением будет подключение внешних обработок и отчетов через механизмы БСП "Дополнительные отчеты и обработки" с отключением безопасного режима либо добавлением разрешений (по-моему, с версии БСП 2.2.2.1). Но если по каким-то причинам необходимо использование именно внешних файлов отчетов/обработок, то можно настроить профиль безопасности кластера, используемого в качестве профиля безопасности безопасного режима для конкретной информационной базы.

Хотел бы сразу заметить, что такой вариант не является предпочтительным, но в силу разных обстоятельств можно его использовать в таком упрощенном виде. Например, у меня несколько баз в разных городах, общая локальная сесть с жёстко ограниченными правами, закрытыми USB и т.п., где-то используется Бухгалтерия 2.0, а где-то 3.0, почти все отчеты делаю средствами СКД без форм, что бы они открывались в обоих версиях. Обслуживать все эти отчеты для разных версий и разных баз дело трудоёмкое и бесперспективное, т.к. в планах есть переход на единую конфигурацию и базу...

Создаем профиль.
В консоли кластера создаём профиль безопасности, в котором устанавливаем флаги "Может использоваться как профиль безопасности безопасного режима" и " в разделе "Разрешен полный доступ:" "к привилегированному режиму".

Во многих случаях использования отчетов и простых обработок данный метод будет применим. Для более сложных ситуаций описывать процесс нет смысла, т.к. он изложен в документации (возможность в настраивать профили безопасности для конкретных внешних файлов через указание его хеш-суммы и т.п.).

P.S. Думал что профили безопасности функционируют только при использовании лицензий на платформу и сервер уровня КОРП, но данный функционал отрабатывает и на платформе 1С:Предприятие 8.3 (условно можно назвать ПРОФ по аналогии с типовыми конфигурациями Базовая/ПРОФ/КОРП)

На примере «Управление торговлей 11.3» рассмотрим простой процесс подключения внешней печатной формы. Также рассмотрим особенности новой системы безопасности.

Быстрый переход

Предварительные действия

Для начала следует включить функционал или проверить его доступность

1. Заходим под полными правами в информационную базу.

2. Заходим в меню «НСИ и администрирование»/Блок «Администрирование»/ Команда «Печатные формы,отчеты и обработки».

Добавление

В открывшемся разделе:

Добавляем обработку по кнопке «Создать» (это важно) или же «Обновляем!» существующую:

  • Выделить ее в списке (если не выделено или пусто, команда не сработает, но ничего не скажет).
  • Нажать кнопку «Загрузить из файла».

После появления для 1С во внешней обработки в новых конфигурациях появились проверки безопасности.

Следует устанавливать только обработки созданные самостоятельно или полученные по известным каналам связи (не из почты, только с сайта с действующим сертификатом, или предоставленным работниками разработчика, подтвержденным им по телефону).

Если в обработке все прописано разработчиком, то будут установлено «Размещение» — объекты в которых обработка будет задействована, появится команда(ы).
Для работы достаточно будет нажать «Записать и закрыть».

Проверка

Сразу после этого в зависимости от вида обработки:

  • Печатная форма становится доступной при открытии документа или из его списка(для уже открытой при повторном открытии) по кнопке «Печать».
  • Обработки доступны в разделах «Дополнительные обработки» в каждой подсистеме
  • Обработки заполнения по кнопке «Заполнить» списка или главной командной панели формы объекта.

Для выше указанной обработки запуск будет выглядеть вот так:

Если документ новый, его следует записать, механизм внешних обработок вас предупредит об этом:

Дальнейшее поведение зависит от заложенного функционала: возможно открытие формы или же простая обработка данных.

Предупреждения безопасности в 1С

В новых релизах платформы и конфигурациях усилилась защита от запуска зловредных программ.

В обработке может вызваться запуск Excel для загрузки, в этом случае новая подсистема безопасности также предупредит вас:

При этом код обработчика прерывается.

В случае, если вы нажмете «Да», то система попросит вас повторно вызвать команду:

Для пользователя информационной базы возможно отключить защиту от опасных действий через «Конфигуратор»:

Из режима «Предприятие» изменить это нельзя, возможно так сделано специально, возможно появится после обновления.

Также следует обратить внимание, что если обработка использует Excel, она должна запускать в небезопасном режиме (так было и до введения новой системы, это работает параллельно):

«Невозможно загрузить MS EXCEL!!!» «Установлен безопасный режим. Выполнение операции запрещено»

Во внешних обработках это выглядит вот так:

Разработчику следует во внутреннем описании обработки установить его в «Ложь», тогда все будет нормально:

Функция СведенияОВнешнейОбработке() Экспорт ПараметрыРегистрации = Новый Структура; ПараметрыРегистрации.Вставить("БезопасныйРежим", Ложь);

При обновлении конфигурации также появился предупреждающий текст об источнике, из которого был получен файл конфигурации:

Дело в том что при использовании клиент-серверного варианта работы 1С внешние обработки/отчеты открываются в безопасном режиме, в котором запрещено использование привилегированного режима. А привилегированный режим используется очень часто в типовых конфигурациях: формирование печатных форм, различные служебные проверки (регистрация обменов) и т.д. В результате, даже используя обычный отчет на СКД без формы (по умолчанию используется общая форма "ФормаОтчета") и сохраняя пользовательские настройки отчета (в соответствующий справочник), вы получите ошибку о недостаточности прав доступа на различные константы и параметры сеанса, используемые в служебных целях после строки УстановитьПривилегированныйРежим(Истина) ;

"Правильным" решением будет подключение внешних обработок и отчетов через механизмы БСП "Дополнительные отчеты и обработки" с отключением безопасного режима либо добавлением разрешений (по-моему, с версии БСП 2.2.2.1). Но если по каким-то причинам необходимо использование именно внешних файлов отчетов/обработок, то можно настроить профиль безопасности кластера, используемого в качестве профиля безопасности безопасного режима для конкретной информационной базы.

Хотел бы сразу заметить, что такой вариант не является предпочтительным, но в силу разных обстоятельств можно его использовать в таком упрощенном виде. Например, у меня несколько баз в разных городах, общая локальная сесть с жёстко ограниченными правами, закрытыми USB и т.п., где-то используется Бухгалтерия 2.0, а где-то 3.0, почти все отчеты делаю средствами СКД без форм, что бы они открывались в обоих версиях. Обслуживать все эти отчеты для разных версий и разных баз дело трудоёмкое и бесперспективное, т.к. в планах есть переход на единую конфигурацию и базу...

Создаем профиль.
В консоли кластера создаём профиль безопасности, в котором устанавливаем флаги "Может использоваться как профиль безопасности безопасного режима" и " в разделе "Разрешен полный доступ:" "к привилегированному режиму".

Во многих случаях использования отчетов и простых обработок данный метод будет применим. Для более сложных ситуаций описывать процесс нет смысла, т.к. он изложен в документации (возможность в настраивать профили безопасности для конкретных внешних файлов через указание его хеш-суммы и т.п.).

P.S. Думал что профили безопасности функционируют только при использовании лицензий на платформу и сервер уровня КОРП, но данный функционал отрабатывает и на платформе 1С:Предприятие 8.3 (условно можно назвать ПРОФ по аналогии с типовыми конфигурациями Базовая/ПРОФ/КОРП)