1cd - Информационная база в формате 8.0. Содержит конфигурацию, данные и административную информацию (список пользователей). В варианте клиент-сервер данные хранятся на SQL Server, а все остальное хранится в этом файле.

dt - файл выгрузки информационной базы, является сжатым.

epf - файл внешней обработки (аналог ert в 7.7)

cf - файл конфигурации (аналог md в 7.7)

cfu - файл обновления, содержит только изменения по сравнению с опр. релизами

log - лог-файл

pfl - профиль пользователя, содержит его текущие настройки, размеры и положения окон, видимость и порядок колонок списков и т.д.

snp - копия конфигурации в хранилище

1cl - (точно не знаю) тоже что-то для хранилища

efd - Настройка комплекта поставки.

(1,2) Спасибо за добавления. Забыл я про них.

(0) у меня в каталоге есть еще файлик 1Cv8tmp.1CD - каково его назначение?
файлика cf не нашел
базу создавал с нуля
можно расписать какие действия над какими файлами происходят при сохранении, изменении конфигирации; выгрузки загрузки данных; обновление конфигурации базы данных.

Открываем "C:\Documents and Settings\All Users.WINNT\Application Data\1C\1Cv8\srvrib.lst" - опаньки! - все пароли в чистом виде.
ЗЫ рай для хакера.

(5) Колумб! v8: Дыра в 1С восьмерке

А че все парятся - файл с паролями (также как и физические файлы БД) же можно прикрыть от юзеров, а открыть только процессу, под которым крутится сервер приложений. Вот и вся защита.  (А любое криптование в таких случаях все равно коцается спокойно дизассемблером/написанием крякалки, поэтому просто не нужно). Или я не прав?

(7) Прав.

(7) Да если очень захотеть...
Только нафик тогда кричать о конечном безопасном продукте?
От кого обезопасилсь - от юзверей? - не верю.

А то ведь в 8.0/SQL еще и виндовые пароли вроде бы можно цеплять?
Т.е. чтобы все пароли хранились в виндах, чтобы не разводить кучу мест, где они лежат. Или в 8-ке еще сохранились "mixed mode" и прочие подобные требования, когда 1С-ка должна знать пароль БД в открытом виде?

(9) Криптовать-то пароли зачем?
Правами доступа их закрой - вот и 100% безопасность.

То есть, можно наверное юзать только системные пароли?
И на SQL, и на 1С.
То, что не криптуют - имхо правильно, это было бы всего лишь легкое сокрытие проблемы от глаз юзеров, но не ее 100% решение.

Знал бы десятилетний Ромикс, что алгоритмы криптования открытые.
Ламер... он и есть ламер.
ЗЫ: Найди, где открыто лежат пароли в виндах.

(13) Неверно. Файлы pwl никогда в 98 виндах не встречал? А прогу L0phtCrack (для NT4)? А целый комплект прог, которыми можно взламывать пароли для Word, Excel, Access, .... За долю секунды. Вот тебе и криптование.
Так что юзать только криптование - это НЕ ДЕЛО - рулят только права доступа.

(+14) А чтобы не напрягаться с их назначением - уже есть винды, и в них есть пароли. Заводить и запоминать их в 50 разных (пусть и безопасных) местах - тоже не дело. Поэтому вывод - надо юзать виндовые пароли, а не играть в детский сад с криптованием паролей по XOR.

(15) Самое интересное, что "криптование" вовсе не обязательно по XOR. Есть и алгоритмы гарантированной стойкости. Просто следует почитать соответствующие документы.

(16) С этого места поподробнее? Особенно про гарантированную стойкость. Кем или чем гарантированную?

Более или менее что-то гарантировать можно, если юзера назначат пароли не словарные (наподобие "sex", "god" - см. "пароль рыба-меч") и не меньше 8 символов (наподобие "123"). Иначе "тупым перебором" или перебором по словарю их можно подобрать достаточно быстро. Вирус Морриса подбирал половину паролей тупым преобразованием логина или атакой по словарю. Юзера не любят длинные или сложные пароли. Особенно (теорема БЖ-Соболя) - юзера 1С. Поэтому нет причин не доверять системному паролю в Windows и не юзать его для авторизации в 1С 8 (тем более, что его не надо будет и вводить).

Кстати, меня никто не просветил - в 8-ке убрали приколы с невозможностью исп. системного (из Windows) пароля в SQL? Я просто не в курсе.

Но если все верно, тогда встает нескромный вопрос, а зачем вообще в 1С 8 пароли, отличные от системных? Доказательство т. БЖ-Соболя распространяется и на саму 1С, или этому есть причины?

(19) В SQL Server Сервер 1С:Предприятия стучится от одного пользователя с определенным паролем. Все клиенты подключаются к Серверной части 1С и действуют только через нее. На клиенте можно использовать пароль от Windows для доступа к базе.

(20) Что на клиенте - это отлично.
А вроде бы SQL 2000 по жизни поддерживал аутентификацию через винды. Например, некая прога долбится в SQL сервер, а он и проверяет, а под каким же юзером (аккаунтом операционной системы) запущена эта прога? Я так понимаю, что серверная часть 1С - это служба, а ее под любым виндовым юзером можно запустить (указав логин и пароль). То есть, аутентификация другими средствами вроде как и не нужна, и даже опасна, или же я не прав?

Я кстати тоже сделал в своей разработке логин-пароль открытым текстом - все плюются :-) Придется юзать xor FF. :-)
Сервер Interbase / Firebird виндовую аутентификацию вроде бы не поддерживает (или я не нашел, где там это), а так бы я поюзал именно ее.

XOR, XOR...
MD5 хотя бы уж...

(23) Да я пошутил - не буду я ничего шифровать. :-)
Исходник MD5 правда везде в инете лежит... (даже на дельфи).

(21) И опять ты не прав. Все зависит от задачи и требований к обеспечению безопасности системы. Для тебя может быть открытием, но большие системы имеют идентификацию на уровне прикладной системы. Может разработчики, например, SAP R/3 некомпетентны? Целый курс посвятили концепции безопасности.
PS: А что заприкол в (18)? Похоже ты просто не так понял звон...

(25-1)
>"И опять ты не прав"
Нельзя так все время говорить не подтверждая своих слов. А то тут кое-кто прогнал на инженеров знаний, но не смог ничего подтвердить. Я понимаю, что это кошерная методика, и помогает есть мацу с маслом, но надо бы и честь знать.

>"большие системы имеют идентификацию на уровне прикладной системы".
Оракл имеет виндовую аутентификацию. MS-SQL имеет. На уровне прикладной системы тоже зачем-то она везде оставлена. Но я не уверен, зачем это. То, что она есть, и богатые фирмы ее оставляют, это факт. А вот зачем? Подозрения могут быть самыми разными.

>"PS: А что заприкол в (18)? Похоже ты просто не так понял звон..."
Mixed Mode в 7.7 для MS-SQL был обязательный? Иначе там ничего не работало.
Вот и весь звон. Я наверное домой приеду на ИТС посмотрю (а то народ вроде навскидку не знает), осталось ли это в 8.0, или теперь можно только виндовую аутентификацию ставить, а простую - не устанавливать.