---

Hej!

Er det muligt at kryptere brugernavnet og password i en connectionstring?

Den står jo bare som plain text i kildekoden - hvilket jo ikke er særlig
sikkert.

Har læst at man kan id ASP.NET 2.0 vha. konfigurationsfilen web.config.

Men kan man ikke i det "gamle" ASP ?

Mvh.

Kenneth

---

> Er det muligt at kryptere brugernavnet og password i en
> connectionstring?
>
> Den står jo bare som plain text i kildekoden - hvilket jo ikke er
> særlig sikkert.

Hvis du mener den del af din kode hvor du opretter forbindelse til din
database, så kan brugeren ikke se den del af din kode.
Når browseren kalder en asp-side så behandles den på serveren hvor alle
udregninger og databaseforbindelser med mere behandles og så skaber
serveren noget html/tekst ud fra det og det er denne tekst der sendes
til browseren.
Så hvis man siger vis kilde i sin browser vil man kun kunne se
html-koderne og ikke noger ASP... du kan jo prøve det af...

--
MooreHojer

---

MooreHojer skrev:
>> Er det muligt at kryptere brugernavnet og password i en connectionstring?
>>
>> Den står jo bare som plain text i kildekoden - hvilket jo ikke er
>> særlig sikkert.
>
>
> Hvis du mener den del af din kode hvor du opretter forbindelse til din
> database, så kan brugeren ikke se den del af din kode.
> Når browseren kalder en asp-side så behandles den på serveren hvor alle
> udregninger og databaseforbindelser med mere behandles og så skaber
> serveren noget html/tekst ud fra det og det er denne tekst der sendes
> til browseren.
> Så hvis man siger vis kilde i sin browser vil man kun kunne se
> html-koderne og ikke noger ASP... du kan jo prøve det af...
>
og den bruger der står for connection, må jo ikke have nogen høj
status i databasen, så hvis navn og kode bliver sniffet, er der
ikke sket nogen skade ved det.

Med venlig hilsen

Tom Jensen
- Læs mere om asp og databaser her -
www.ffsoft.dk

---

> Når browseren kalder en asp-side så behandles den på serveren hvor alle
> udregninger og databaseforbindelser med mere behandles og så skaber
> serveren noget html/tekst ud fra det og det er denne tekst der sendes til
> browseren.

Ja, det er meget vel klar over. Jeg mener også når først hackeren har
kompromitteret serveren, at det ikke skal være muligt at læse
brugernavn/password i kildekoden.

Mvh.

Kenneth

---

Kenneth wrote:
> Er det muligt at kryptere brugernavnet og password i en connectionstring?
>
> Den står jo bare som plain text i kildekoden - hvilket jo ikke er særlig
> sikkert.

Men det der så vil stå i kildekoden i stedet, vil jo altid være
tilstrækkeligt til at man vil kunne få adgang til databasen. Ellers kan
man jo ikke få adgang fra ASP. Så at kryptere det får du nok ikke meget
ud af.

Hvis adgangen til databasen ikke alene er afhængig af en nøgle, men også
hvilket ip-nummer klienten har, har du begrænset problemet med løbske
passwords, da vedkommende samtidig skal skaffe sig adgang til at benytte
det pågældende ip-nummer. Det bruger jeg ofte til forskellige former for
adgangskontrol.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
Visit my home page at http://michael.zedeler.dk/
Get my vcard at http://michael.zedeler.dk/vcard.vcf

---

Michael Zedeler wrote in dk.edb.internet.webdesign.serverside.asp:
> Kenneth wrote:
> > Er det muligt at kryptere brugernavnet og password i en connectionstring?
> >
> > Den står jo bare som plain text i kildekoden - hvilket jo ikke er særlig
> > sikkert.
>
> Men det der så vil stå i kildekoden i stedet, vil jo altid være
> tilstrækkeligt til at man vil kunne få adgang til databasen. Ellers kan
> man jo ikke få adgang fra ASP. Så at kryptere det får du nok ikke meget
> ud af.

Nå det vil jeg da godt have forklaret lidt mere, for jeg kikkede lige en af
mine sider efter, der henter data i en database, og der fandt jeg ikke en
eneste lille bitte smule ASP-kode, og slet ikke noget der fortalte at tingene
blev hentet fra en database

PerR

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Per Rasmussen wrote:
> Michael Zedeler wrote in dk.edb.internet.webdesign.serverside.asp:
>
>>Kenneth wrote:
>>
>>>Er det muligt at kryptere brugernavnet og password i en connectionstring?
>>>
>>>Den står jo bare som plain text i kildekoden - hvilket jo ikke er særlig
>>>sikkert.
>>
>>Men det der så vil stå i kildekoden i stedet, vil jo altid være
>>tilstrækkeligt til at man vil kunne få adgang til databasen. Ellers kan
>>man jo ikke få adgang fra ASP. Så at kryptere det får du nok ikke meget
>>ud af.
>
> Nå det vil jeg da godt have forklaret lidt mere, for jeg kikkede lige en af
> mine sider efter, der henter data i en database, og der fandt jeg ikke en
> eneste lille bitte smule ASP-kode, og slet ikke noget der fortalte at tingene
> blev hentet fra en database

Hvis der ikke er noget ASP-kode i, kan det være så meget andet. Så er
det nok bedst du opretter et nyt indlæg i dk.edb.webdesign.serverside og
poster din kode der, så folk kan hjælpe med at finde ud af hvad det er
for noget.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
Visit my home page at http://michael.zedeler.dk/
Get my vcard at http://michael.zedeler.dk/vcard.vcf

---

Per Rasmussen skrev:

> Nå det vil jeg da godt have forklaret lidt mere, for jeg
> kikkede lige en af mine sider efter, der henter data i en
> database, og der fandt jeg ikke en eneste lille bitte smule
> ASP-kode, og slet ikke noget der fortalte at tingene blev
> hentet fra en database

Har du overset en eller flere include-sætninger?`

Man kan i øvrigt godt kode asp-kode så det ikke er så let at læse -
ved at bruge MS Script Encoder. Det får asp-koden til at blive en
masse mere eller mindre tilfældige ascii-tegn.
Problemet er bare at der også findes et (gratis) decoder-program,
som med et snuptag forvandler den kodede udgave til en helt normal
asp-fil - så script-encoding giver ingen reel beskyttelse af koden.

Se evt. siden her: <http://www.aspheute.com/english/20011123.asp>.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jens Gyldenkærne Clausen <jens@gyros.invalid> wrote in
news:Xns97AAF082FCCB8jcdmfdk@gyrosmod.cybercity.dk:

> Per Rasmussen skrev:
>
>> Nå det vil jeg da godt have forklaret lidt mere, for jeg
>> kikkede lige en af mine sider efter, der henter data i en
>> database, og der fandt jeg ikke en eneste lille bitte smule
>> ASP-kode, og slet ikke noget der fortalte at tingene blev
>> hentet fra en database
>
> Har du overset en eller flere include-sætninger?`
>
> Man kan i øvrigt godt kode asp-kode så det ikke er så let at læse -
> ved at bruge MS Script Encoder. Det får asp-koden til at blive en
> masse mere eller mindre tilfældige ascii-tegn.
> Problemet er bare at der også findes et (gratis) decoder-program,
> som med et snuptag forvandler den kodede udgave til en helt normal
> asp-fil - så script-encoding giver ingen reel beskyttelse af koden.

I traditionel ASP-forstand er - så vidt jeg ved - den eneste "løsning" at
kode en VB-komponent, hvor connection-data til databasen er kodet i. Det
gør det i hvert fald relativt svært at få den ud igen ... men betyder jo
så, at komponenten skal gendannes i forbindelse med skift af passwords.

Jeg skal dog huske at sige, at jeg ikke ved, hvor svært/let det er at danne
den oprindelige kildekode fra en VB-komponent.

--
Jesper Stocholm
http://stocholm.dk
Hvor køber du slik, cola eller smøger online?
Send linket til mig via http://ekiosk.dk

---

> Man kan i øvrigt godt kode asp-kode så det ikke er så let at læse -
> ved at bruge MS Script Encoder. Det får asp-koden til at blive en
> masse mere eller mindre tilfældige ascii-tegn.
> Problemet er bare at der også findes et (gratis) decoder-program,
> som med et snuptag forvandler den kodede udgave til en helt normal
> asp-fil - så script-encoding giver ingen reel beskyttelse af koden.
>
> Se evt. siden her: <http://www.aspheute.com/english/20011123.asp>.
> --
Tak, det vil jeg prøve at kigge nærmere på. Det gør det ihvertfal lidt
vanskeligere at opspore.

-Kenneth

---

> Man kan i øvrigt godt kode asp-kode så det ikke er så let at læse -
> ved at bruge MS Script Encoder. Det får asp-koden til at blive en
> masse mere eller mindre tilfældige ascii-tegn.
> Problemet er bare at der også findes et (gratis) decoder-program,
> som med et snuptag forvandler den kodede udgave til en helt normal
> asp-fil - så script-encoding giver ingen reel beskyttelse af koden.
>
> Se evt. siden her: <http://www.aspheute.com/english/20011123.asp>.
> --
Tak, det vil jeg prøve at kigge nærmere på. Det gør det ihvertfal lidt
vanskeligere at opspore.

-Kenneth



--
----------------------------------------
Jeg beskyttes af den gratis SPAMfighter til privatbrugere.
Den har indtil videre sparet mig for at få 4932 spam-mails.
Betalende brugere får ikke denne besked i deres e-mails.
Hent gratis SPAMfighter her: www.spamfighter.dk

---

Kenneth skrev:

>> Man kan i øvrigt godt kode asp-kode så det ikke er så let at
>> læse - ved at bruge MS Script Encoder.

> Tak, det vil jeg prøve at kigge nærmere på. Det gør det
> ihvertfal lidt vanskeligere at opspore.

Som nævnt er det en meget ringe beskyttelse. Hvis folk først har
fået adgang til din server, er det en meget smal sag at afkode evt.
obfuskeret kode.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html