Вопрос о правах доступа, или как защищаются google табличные скрипты?

Question

[Aleksandr]

Как правило таблицы создаются для сбора и обработки данных. Данные в свою очередь это информация следовательно она может быть кому то доступна, кому то недоступна. Кому то на чтение, кому то на запись. В самих таблицах есть встроенный механизм защиты листов, защиты диапазонов. Даже есть возможность давать права пользователям на чтение или запись и т. п.

Не понятно мне как новичку, зачем выше описанные механизмы защит если при любых правах любой пользователь имеет полный доступ к скрипту таблицы и соответсвенно может как минимум удалить скрипт, править его, внести исправления, или просто выключить свои запреты и поменять закрытое на доступное.

В чем логика ? Или как все таки работают с этим на высоком уровне где прописываются сложные и многоуровневые таблицы данных и как организовывается это ?

Возможно я еще чего то не знаю или не понимаю (



Answer 1

[Alexander Ivanov]

Скрипты никак не связаны с ограничением на ввод в ячейку, потому что скрипты это REST.

• Если вы удалите скрипт, то защита ячеек никак не изменится.
  
• Если вы попробуете изменить скрипт так, чтобы значение защищенных (условно от вас) ячеек изменилось, то сработает защита.
  
• Если вы измените скрипт пользовательской функции так, чтобы она возвращала другое значение, то в защищенной ячейке она будет возвращать другое значение, но само значение ячейки по прежнему не изменить.
  

По моему мнению (а ровно и по мнению Гугл) никаких логических противоречий.

Ни в каких ячейках никаких скриптов не находится. Google Apps Script - это синтаксический сахар для Google REST API.

К сожалению, вопрос поставлен так, что тут нельзя дать и хороший и правильный ответ. Если коротко, то вам нужно изменить свое отношение к этой парадигме. Это просто работает не так, как вы себе представляете. Для познающего это нормально.

Если конкретно о защите кода, вне свойств Таблиц, то существуют механизмы сокрытия и распространения защищенного кода. Например, дополнения позволяют "встраивать код в Таблицу", при этом пользователь не может его изменить, он даже не видит этот код.

Особенно отмечу бессмысленность сравнения VBA и GAS.

Comments

[Aleksandr]

Alexander Ivanov Все таки можно опустить защиты ячеек сервер клиент, много фона. Прошу вас помочь мне понять суть происходящего, на самом примитивном примере. Есть Владелец таблицы он пишет в таблице одну функцию при открытии таблицы напечатать "Приветствую хорошей вам работы !!!".

function myFunction() {
Browser.msgBox("Приветствую хорошей вам работы !!!");
}

Далее владелец дает право на редактирование таблицы пользователю
Пользователь НЕ владелец заходит в не свою таблицу открывает редактор скриптов и правит
function myFunction() {
Browser.msgBox("Сам заполняй свою таблицу !!!");
}

В итоге когда Владелец таблицы зайдет в свою таблицу он будет видеть именно это
"Сам заполняй свою таблицу !!!")

Как сделать так что бы пользователь пусть видит скрипт пусть меняет его но только у себя на ПК но скрипт владельца таблицы должен оставаться без изменений. ??????
В моем примере получается что пользователь меняет скрипт не у себя на ПК а на сервере. (((

[Alexander Ivanov]

Aleksandr, это все происходит на сервере. Как я написал выше - публикуйте аддон. Для G Suite это дело двух минут.
Вот мой скрипт numbertext.contributor.pw попробуйте его изменить.

[Alexander Ivanov]

Вы не можете менять суть или обобщенность вопроса в комментариях - это нарушение всякой логики. Если сильно что-то быстро надо узнать - приходите на консультацию.

[Karpion]

Aleksandr, В такой постановке вопроса получается, что выше я отвечал на совершенно иной вопрос. Ибо тут речь о юзерских скриптах, а не о скриптах гугло-таблиц.

Как я уже говорил выше - такой скрипт, созданный владельцем документа (или юзером, имеющим право редактировать) - хранится как бы в невидимой ячейке таблицы. При этом этот скрипт могут менять все, кто имеют право редактировать документ и при этом имеют право редактировать этот конкретный скрипт (права на редактирование скриптов, мне кажется, можно назначать - как право доступа к ячейке).

И Вы совершенно правы, что этот скрипт при изменении его владельцем или кем-то ещё (из числа имеющих право менять скрипт) - записывается на сервер в ту самую невидимую ячейку.

[Karpion]

Alexander Ivanov,

Скрипты никак не связаны с ограничением на ввод в ячейку, потому что скрипты это REST.

Мне кажется, что гугло-таблицы нарушают второе правило.

[Aleksandr]

Karpion, извините если я не корректно поставил вопрос с самого начала. только вникаю. Но вот до сути моего вопроса добрались. Как же можно защитить от редактирования этого самого пользовательского скрипта ? Или как вы сказали этой самой не видимой ячейки где хранится этот скрипт ?

[Aleksandr]

Alexander Ivanov, нету ссылки на ваш скрипт numbertext.contributor.pw ??? как его открыть ?

[Aleksandr]

Alexander Ivanov, как прийти на консультацию ?

[Aleksandr]

Aleksandr, Все разобрался это и есть ссылка на installation

[Alexander Ivanov]

Aleksandr, в профиле есть ссылка на контакты

[Alexander Ivanov]

Aleksandr, решение помогло? Вы разобрались?

Answer 2

[Karpion]

Кажется, я понял Ваш вопрос.

Вы упустили, что гугловские таблицы обрабатываются скриптами как на клиенте (в браузере), так и на сервере.
Допустим, есть таблица из трёх ячеек:

1. доступна мне полностью;
   
2. доступна мне только на чтение;
   
3. вообще мне недоступна.
   

И вот я весь из себя такой типа супер-пупер-мега-хакер - решил подменить скрипты, которые мне прислал Гугл, на свои собственные, которые мне ничего не запрещают, а чисто конкретно делают то, что я в них написал.
Для начала - я просто не получу третью ячейку: мне там выдадут пустоту или сообщение "не для тебя этот цветок вырастили".
Вторую ячейку я получу и даже смогу её изменить. Но вот при попытке записи её на сервер - мне просто откажут в выполнении моего запроса, вернут сообщение "не буду менять". При этом у меня на экране в этой ячейке м.б. что угодно - а все остальные, кто будут пользоваться этой табличкой (и будут иметь право читать вторую ячейку) - увидят там старое значение, а не то, которое я туда пытался вписать.

Возможно, Вам проще будет понять ситуацию, если представить, будто каждая ячейка лежит в отдельном файле на файловом сервере. Ну и что толку, что редактор файлов исполняется у меня на компьютере, и я могу его модифицировать?

Comments

[Aleksandr]

Karpion Спасибо за доходчивое пояснение, особенно за пример с файловым сервером, хорошее объяснение.
Вы так же упоминаете о ячейках и о том что можно закрыть доступ к их изменению. И возможно скрипт на стороне клиента будет только играться как вы говорите с его ПК но не с файлом на сервере.
Позвольте я приведу пример что бы задать свой вопрос еще раз.
Есть владелец который описал в скрипте как нужно пользоваться и заносить данные в таблицу.
Есть пользователь который может менять только ячейку 1
Но этот пользователь может зайти в скрипт у себя на ПК и поменять его полностью. Для меня не состоит проблема, что он будет что то экспериментировать с ячейкой 1 или чем угодна на своем ПК, а на сервере таблица будет такой какой должна быть. Проблема в том что когда заходит владелец в таблицу то у него уже будет его скрипт (оригинал) замен на тот который изменил пользователь это мне и не понятно ???
Во всяком случаи у меня сейчас именно так и получается. Я создаю функции правила формулы что бы пользователи вносили данные как нужно владельцу а в любой момент мои скрипт таблицы может быть переделан без согласия владельца, любым пользователем даже тем кому разрешено менять только одну ячейку в таблице ????

Я как раз понимаю если бы это пользователь делал только у себя на ПК то все понятно все ок, но почему правки пользователя меняют скрипт у владельца ?????? Собственно об этом и был вопрос. Возможно что то с правами у меня не так (

[Karpion]

Aleksandr, Вы странно рассуждаете.

Вот есть Гугл. У него есть набор скриптов - точнее, два набора:

1. скрипты, выполняемые на сервере;
   
2. скрипты, передаваемые клиенту.
   

Далее - есть таблицы. В каждой ячейке - данные и/или формулы; в зависимости от содержимого - к ячейке применяются разные скрипты.

Скрипт, который Гугл выдаёт мне для выполнения в моём браузере - меняет ячейку и у меня в компьютере (в т.ч. на экране; но ячейка м.б. вне экрана, так что она хранится где-то в памяти браузера); и посылает сообщение об изменении на сервер Гугла.
Естественно, этот скриптт (выданный мне от Гугла) проверяет - могу ли я менять ячейку.

Допустим, я подменю выданный мне скрипт. И он отправит сообщение об изменении ячейки на сервер Гугла, игнорируя запрет менять ячейку. Но на сервере - серверный скрипт проверит и откажется менять ячейку. В точности как с файлом на файловом сервере - мой редактор позволяет менять загруженный ко мне в компьютер документ; а файловый сервер отказывается менять файл на своём диске.

Вы говорите о том, что я могу поменять какой-то скрипт. Какой именно?
Когда владелец зайдёт на сервер Гугла и загрузит таблицу - Гугл выдаст ему скрипты со своего диска. Эти скрипты я поменять не могу. Я могу поменять только скрипты, загруженные на мой компьютер - а обратно на сервер Гугла записать их не могу.

Есть ещё один вид скриптов: "табличные скрипты", типа того, что в Word/Excel пишут на VisualBasic. Право менять такие скрипты - назначается так же, как право менять содержимое ячеек (табличные скрипты как бы хранятся в невидимых ячейках).

Чтобы ответить на Ваш вопрос - надо видеть таблицу, в которой происходит что-то не то.

[Alexander Ivanov]

Это все не так работает.

[Karpion]

Alexander Ivanov, Ну так напишите скорее - как правильно.

Answer 3

[Mirtopir]

Отличный вопрос, но так и не получен однозначный ответ.
Проблемой является открытые скрипты для людей с доступом на редактирование хотя бы одной ячейки.
И как бороться с это проблемой - непонятно.