|
|
 | Sikring af brugernavn og kodeord i databas~
Fra : M@rk |
Dato : 20-11-02 21:17 |
|
Hej alle,
nu har jeg lært lidt mere om asp og MySql - og har nu fået lavet mine
første databaser og hældt data i dem via Asp.
Men jeg er kommet til at tænke på, at i min asp-kode fremgår både
brugernavn og kodeord til databasen og det er vel ikke så heldigt,
hvis nogen skulle gå hen og få "onde" ideer 
Min kode ser således ud:
Set Conn = Server.CreateObject("ADODB.Connection")
Conn.open "DRIVER={MySQL}; SERVER=mit-webhotel.dk;
UID=mit-brugernavn; PWD=et-kodeord; DATABASE=min-dbf;"
strSQL = "Select * From personer Order by efternavn Asc"
Set rs = Conn.Execute(strSQL)
Hvis nogen får fat i denne kode, så har de fri adgang til, at slette
min database - og det vil jeg da helst undgå! Men jeg må omvendt
erkende, at jeg har ingen ide om, hvordan jeg skal sikre disse
oplysninger .......................
Er der nogen i denne gruppe, som kan give mig et hint eller 2?
/Mark
| |
 Jesper Stocholm (20-11-2002)
| Kommentar
Fra : Jesper Stocholm |
Dato : 20-11-02 21:46 |
|
M@rk wrote :
> Men jeg er kommet til at tænke på, at i min asp-kode fremgår både
> brugernavn og kodeord til databasen og det er vel ikke så heldigt,
> hvis nogen skulle gå hen og få "onde" ideer
>
> Hvis nogen får fat i denne kode, så har de fri adgang til, at slette
> min database - og det vil jeg da helst undgå! Men jeg må omvendt
> erkende, at jeg har ingen ide om, hvordan jeg skal sikre disse
> oplysninger .......................
>
> Er der nogen i denne gruppe, som kan give mig et hint eller 2?
i reg. ASP er der mig bekendt ingen måde at sikre din kode på, der ikke
i løbet af 5 mins vil kunne åbnes op igen. Du kan derimod vælge at kode en
komponent i fx VB eller C++, der så har disse oplysninger kompileret,
eller du kan lave det i ASP.Net, hvor det ligeledes kompiles og derfor
bliver ulæseligt. Det er denne metode, der er brugt i koden på
http://asp-faq.dk
--
Jesper Stocholm
http://stocholm.dk
Ny FAQ for dk.edb.internet.webdesign.serverside.asp
se http://asp-faq.dk
| |
M@rk (20-11-2002)
| Kommentar
Fra : M@rk |
Dato : 20-11-02 21:46 |
|
Wed, 20 Nov 2002 20:45:50 +0000 (UTC), berigede Jesper Stocholm
<jespers@stocholm.invalid> dk.edb.internet.webdesign.serverside.asp
med:
>i reg. ASP er der mig bekendt ingen måde at sikre din kode på, der ikke
>i løbet af 5 mins vil kunne åbnes op igen.
Man kan vel i bund og grund aldrig sikre sig mod "eksperterne"
>Du kan derimod vælge at kode en
>komponent i fx VB eller C++, der så har disse oplysninger kompileret,
>eller du kan lave det i ASP.Net, hvor det ligeledes kompiles og derfor
>bliver ulæseligt.
Well, det er uhyggelig mange år siden, at jeg har programmeret
big-time, så lige nu er asp alt rigeligt ) Jeg har aldrig haft et
vanvittigt godt forhold til C++ og det gør vist ikke sagen nemmere
))
/Mark
| |
 Jesper Stocholm (20-11-2002)
| Kommentar
Fra : Jesper Stocholm |
Dato : 20-11-02 22:09 |
|
M@rk wrote :
> Wed, 20 Nov 2002 20:45:50 +0000 (UTC), berigede Jesper Stocholm
> <jespers@stocholm.invalid> dk.edb.internet.webdesign.serverside.asp
> med:
>
>>i reg. ASP er der mig bekendt ingen måde at sikre din kode på, der ikke
>>i løbet af 5 mins vil kunne åbnes op igen.
>
> Man kan vel i bund og grund aldrig sikre sig mod "eksperterne"
nej ... men det er end ikke - efter min mening - muligt at beskytte sig
imod en svært interesseret person med moderat kendskab til ASP. Det gør
næsten, at det er ligemeget.
>>Du kan derimod vælge at kode en
>>komponent i fx VB eller C++, der så har disse oplysninger kompileret,
>>eller du kan lave det i ASP.Net, hvor det ligeledes kompiles og derfor
>>bliver ulæseligt.
>
> Well, det er uhyggelig mange år siden, at jeg har programmeret
> big-time, så lige nu er asp alt rigeligt ) Jeg har aldrig haft et
> vanvittigt godt forhold til C++ og det gør vist ikke sagen nemmere
> ))
well ... så må du klare dig uden ... :o| I ASP.Net er det MEGET simpelt
at lave - hvis du skulle få lyst til at kigge på netop dét.
--
Jesper Stocholm
http://stocholm.dk
Ny FAQ for dk.edb.internet.webdesign.serverside.asp
se http://asp-faq.dk
| |
M@rk (20-11-2002)
| Kommentar
Fra : M@rk |
Dato : 20-11-02 22:07 |
|
Wed, 20 Nov 2002 21:09:13 +0000 (UTC), berigede Jesper Stocholm
<jespers@stocholm.invalid> dk.edb.internet.webdesign.serverside.asp
med:
>nej ... men det er end ikke - efter min mening - muligt at beskytte sig
>imod en svært interesseret person med moderat kendskab til ASP. Det gør
>næsten, at det er ligemeget.
Okay, den side af sagen havde jeg ikke lige overvejet - jeg sidder og
tænker på, at hvis en person ved, hvad han/hun skal gøre med
oplysningerne i asp-koden for, at denne kan få adgang til databaserne,
så har man vist alligevel med en "ekspert" at gøre
>well ... så må du klare dig uden ... :o| I ASP.Net er det MEGET simpelt
>at lave - hvis du skulle få lyst til at kigge på netop dét.
Okay - det vil jeg kraftigt overveje - jeg er ved, at føle mig godt
tilpas (men ingenlund "god" endnu med asp, så måske kunne lidt
hyggelæsning være på sin plads
Tak for dine indspark.
/Mark
| |
Peter Lykkegaard (21-11-2002)
| Kommentar
Fra : Peter Lykkegaard |
Dato : 21-11-02 11:11 |
|
Som svar på skriblerier nedfældet af M@rk :
> Well, det er uhyggelig mange år siden, at jeg har programmeret
> big-time, så lige nu er asp alt rigeligt ) Jeg har aldrig haft et
> vanvittigt godt forhold til C++ og det gør vist ikke sagen nemmere
Du kan lave dit komponent i VB, det er lidt ASP/VBSCript alike
Det meste af koden kan porteres direkte over, med nogle få undtagelser
Efterfølgende skal der så sættes de korrekte variabel typer på, og laves
early binding etc
mvh/Peter Lykkegaard
| |
M@rk (21-11-2002)
| Kommentar
Fra : M@rk |
Dato : 21-11-02 22:27 |
|
Thu, 21 Nov 2002 11:11:01 +0100, berigede "Peter Lykkegaard"
<polonline@hot.mail.com> dk.edb.internet.webdesign.serverside.asp med:
>Det meste af koden kan porteres direkte over, med nogle få undtagelser
>Efterfølgende skal der så sættes de korrekte variabel typer på, og laves
>early binding etc
Okay - jeg går lige lidt i tænkeboks og vil prøve at finde ud af,
hvordan jeg løser problemet alternativt, om det bare er mig der er
over-kolerisk
Tak for jeres indspark!
/Mark
| |
Jesper Stocholm (21-11-2002)
| Kommentar
Fra : Jesper Stocholm |
Dato : 21-11-02 22:52 |
|
M@rk wrote :
> Thu, 21 Nov 2002 11:11:01 +0100, berigede "Peter Lykkegaard"
> <polonline@hot.mail.com> dk.edb.internet.webdesign.serverside.asp med:
>
>>Det meste af koden kan porteres direkte over, med nogle få undtagelser
>>Efterfølgende skal der så sættes de korrekte variabel typer på, og
>>laves early binding etc
>
> Okay - jeg går lige lidt i tænkeboks og vil prøve at finde ud af,
> hvordan jeg løser problemet alternativt, om det bare er mig der er
> over-kolerisk
måske ... men husk på, at alle overvejelser om sikkerhed indebærer, at du
må stole på mindst 1 person ud over dig selv [1] - hvis du ikke har din
egen maskine. Det er der sådan set ikke noget sikkerhedsmæssigt problem i
.... men skal blot finde den rigtige person at stole på.
[1]
om ikke andet vil userid+password kunne sniffes af din administrator på
vejen fra din webserver til din mySQL-database.
--
Jesper Stocholm
http://stocholm.dk
Ny FAQ for dk.edb.internet.webdesign.serverside.asp
se http://asp-faq.dk
| |
M@rk (24-11-2002)
| Kommentar
Fra : M@rk |
Dato : 24-11-02 22:47 |
|
Thu, 21 Nov 2002 21:52:21 +0000 (UTC), berigede Jesper Stocholm
<jespers@stocholm.invalid> dk.edb.internet.webdesign.serverside.asp
med:
>måske ... men husk på, at alle overvejelser om sikkerhed indebærer, at du
>må stole på mindst 1 person ud over dig selv [1] - hvis du ikke har din
>egen maskine. Det er der sådan set ikke noget sikkerhedsmæssigt problem i
>... men skal blot finde den rigtige person at stole på.
)
Så sandt, så sandt - min database indeholder hverken opskriften på
guld eller universets glemte viden - jeg har bare ikke lyst til, at en
eller anden med for megen tid i livet, opsnapper eller læser sig frem
til brugernavn/kodeord og sletter mine databaser - det ville være for
træls
Well, jeg tænker videre ............
/Mark
| |
Peter Lykkegaard (20-11-2002)
| Kommentar
Fra : Peter Lykkegaard |
Dato : 20-11-02 21:53 |
|
M@rk <unknown@get2net.dk> skrev i en
nyhedsmeddelelse:u2rntu8slhphmhim5omeju6rrll7nk4ub4@4ax.com...
> Men jeg er kommet til at tænke på, at i min asp-kode fremgår både
> brugernavn og kodeord til databasen
> Hvis nogen får fat i denne kode, så har de fri adgang til, at slette
> min database - og det vil jeg da helst undgå!
Du har vel een mySQL bruger der kan selecte/inserte/update og evt delete
Og en anden bruger de er sa (System Adminsitrator)?
Alternativt kan du pakke dit datalag ned i nogle komponenter
mvh/Peter Lykkegaard
| |
M@rk (20-11-2002)
| Kommentar
Fra : M@rk |
Dato : 20-11-02 21:38 |
|
Wed, 20 Nov 2002 21:53:04 +0100, berigede "Peter Lykkegaard"
<polonline@hotmail.com> dk.edb.internet.webdesign.serverside.asp med:
>Du har vel een mySQL bruger der kan selecte/inserte/update og evt delete
>Og en anden bruger de er sa (System Adminsitrator)?
Beklageligvis har jeg kun én konto til denne database og denne skulle
gerne dække "det hele" - det er ikke mit valg, men det webhotels hvor
siderne ligger 
Jeg tænkte noget i stil med, at det er serveren der læser og fortolker
mine asp-sider og det er også denne, som forbinder sig til min
database - kunne man så ikke lægge de "kritiske" informationer i en
include-fil og placere denne i et bibliotek, hvor kun "owner" har
adgang og herefter referere til denne i mine asp-sider?
Giver ovenstående overhoved mening for end mig, som sidder og tænker
dette?
/Mark
| |
Thomas Due (29-11-2002)
| Kommentar
Fra : Thomas Due |
Dato : 29-11-02 13:40 |
|
> Jeg tænkte noget i stil med, at det er serveren der læser og fortolker
> mine asp-sider og det er også denne, som forbinder sig til min
> database - kunne man så ikke lægge de "kritiske" informationer i en
> include-fil og placere denne i et bibliotek, hvor kun "owner" har
> adgang og herefter referere til denne i mine asp-sider?
Nu vil jeg så lige blande mig. Er der ikke sådan at asp sider bliver
fortolket af serveren INDEN de sendes ud til klienten, og med mindre man har
directory browsing slået til, vil disse oplysninger aldrig blive sendt til
klienten i det hele taget?
Sagt med andre ord: Server anvender connection string til at forbinde til
databasen og generere html sider som så sendes til klienten. Med mindre der
er tale om client-side scripting kommer selve asp koden jo aldrig ud til
klienten.
Eller har jeg fuldstændig misforstået et eller andet?
--
Thomas Due
Software Developer
Scanvaegt Nordic A/S
| |
M@rk (03-12-2002)
| Kommentar
Fra : M@rk |
Dato : 03-12-02 20:02 |
|
Fri, 29 Nov 2002 13:40:24 +0100, berigede "Thomas Due"
<t.due@scanvaegt_REMOVE_.dk> dk.edb.internet.webdesign.serverside.asp
med:
>Eller har jeg fuldstændig misforstået et eller andet?
Det tror jeg faktisk ikke .................. faktisk = men jeg kan da
godt tage fejl
Jeg lavede en lille konkurence for et par dage siden, med en kammerat
som ikke er helt tabt bag en www-vogn og han gjorde sit ypperste for,
at få fat i mit brugernavn og kodeord - det lykkedes ham ikke!
Så jeg er kommet til samme konklusion som dig ............
/Mark
| |
|
|