---

Hej
Det er muligt at det er et lidt dumt spørgsmål, men hvor placerer man en
access-database som man helst ikke vil have downloaded, men germe kunne læse
fra via asp?

Mvh
Thorbjørn

---

"Thorbjørn Jørgensen" <tuds47@hotmail.com> wrote in message
news:9jk1f1$dob$1@newstoo.ericsson.se...
> Hej
> Det er muligt at det er et lidt dumt spørgsmål, men hvor placerer man en
> access-database som man helst ikke vil have downloaded, men germe kunne
læse
> fra via asp?

Hvor du vil... Bare du ikke oplyser navnet på den til nogen - så kan de ikke
finde/DL den.

--
/Lars Bo Wassini
http://www.wassini.dk
Dataklubben Odense: http://www.dko.dk

---

"Lars Bo Wassini" <lars@wassini.(dk)> wrote:

> "Thorbjørn Jørgensen" <tuds47@hotmail.com> wrote in message
> news:9jk1f1$dob$1@newstoo.ericsson.se...
> > Hej
> > Det er muligt at det er et lidt dumt spørgsmål, men hvor placerer man en
> > access-database som man helst ikke vil have downloaded, men germe kunne
> læse
> > fra via asp?
>
> Hvor du vil... Bare du ikke oplyser navnet på den til nogen - så kan de ikke
> finde/DL den.

Uhm - arbejder du som sikkerhedskonsulent? Overvej disse:

- En anden bruger har adgang til samme webserver og kan aflæse
biblioteksstrukturen.

- En person aflæser stien til databasen i den proxy-server du anvender.

- En webmaster aflæser URL'en til databasen som referer.

- En ondsindet person sniffer FTP linien til serveren og får fat i det hemlige
navn.

Et kryptisk navn kan bruges hvis man ikke får brændt fingrene ved at den
downloades.

--
Martin Poulsen

---

"Martin Poulsen" <martinp@nospam.dk> wrote in message
news:9jkq9j$jqj$1@sunsite.dk...
> "Lars Bo Wassini" <lars@wassini.(dk)> wrote:
>
> > "Thorbjørn Jørgensen" <tuds47@hotmail.com> wrote in message
> > news:9jk1f1$dob$1@newstoo.ericsson.se...
> > > Hej
> > > Det er muligt at det er et lidt dumt spørgsmål, men hvor placerer man
en
> > > access-database som man helst ikke vil have downloaded, men germe
kunne
> > læse
> > > fra via asp?
> >
> > Hvor du vil... Bare du ikke oplyser navnet på den til nogen - så kan de
ikke
> > finde/DL den.
>
> Uhm - arbejder du som sikkerhedskonsulent? Overvej disse:

Nej

> - En anden bruger har adgang til samme webserver og kan aflæse
> biblioteksstrukturen.

Så er det vel et adgangproblem - ikke et Webserver problem.


> - En person aflæser stien til databasen i den proxy-server du anvender.

Hmm.. Kender ikke noget til proxy, men hvorfor skulle stien stå i Proxyen?


> - En webmaster aflæser URL'en til databasen som referer.

Igen - ikke et webproblem, men et adgangsproblem.

> - En ondsindet person sniffer FTP linien til serveren og får fat i det
hemlige
> navn.

Er det da også FTP adgang?

> Et kryptisk navn kan bruges hvis man ikke får brændt fingrene ved at den
> downloades.


Det jeg trode spørgsmålet gik ud på, var om det var muligt at læse i en
database via ASP uden at nogen kan se databasen. Hvis igen har adgang til
ASP koden er det jo heller ikke nogen, der skal se at det er en database,
der bliver læst fra! Det kan vel ikke være så svært!



--
/Lars Bo Wassini
http://www.wassini.dk
Dataklubben Odense: http://www.dko.dk

---

On Wed, 25 Jul 2001 21:18:42 +0200, "Lars Bo Wassini"
<lars@wassini.(dk)> wrote:
<SNIP>
>Hvis igen har adgang til
>ASP koden er det jo heller ikke nogen, der skal se at det er en database,
>der bliver læst fra! Det kan vel ikke være så svært!

Njah, man skal i så fald også huske at *fejlmeddelelser* også kan være
en måde, hvorpå folk kan se stien til basen - og fejl opstår som
bekendt fra tid til anden :)

Mvh. Jørn

--
Jørn Andersen
Brønshøj

---

"Lars Bo Wassini" <lars@wassini.(dk)> wrote in message
news:3b5f1b92$0$263$edfadb0f@dspool01.news.tele.dk...
>
> Det jeg trode spørgsmålet gik ud på, var om det var muligt at læse i en
> database via ASP uden at nogen kan se databasen. Hvis igen har adgang til
> ASP koden er det jo heller ikke nogen, der skal se at det er en database,
> der bliver læst fra! Det kan vel ikke være så svært!
>
Placér den slags uden for webscope, så er der ingen problemer - hvor svært
kan det være

Det er den klare anbefaling der ligger fra diverse sikkerhedsguruer

mvh/Peter Lykkegaard

---

> Det er muligt at det er et lidt dumt spørgsmål, men hvor placerer man en
> access-database som man helst ikke vil have downloaded, men germe kunne
læse
> fra via asp?

Det ER faktisk ikke noget dumt spørgsmål.
Der er mange Access databaser der er blevet hentet vha HTTP som ik sku ha
været hentet.

Det mest optimale sted du kan lægge den er et sted som der IKKE er HTTP
adgang til - Hør din udbyder om de har opsat serveren sådan.

Et alternativ er at lave et bibliotek med et langt navn og evt. et
underbibliotek i det og kalde databasen for noget ligeså kryptisk.
Den kan naturligvis stadig downloades men sandsynligheden for at nogen
gætter både sti og navn er ret lille.

VH Peter

---

en anden mulighed er at angive access databaser som eksekverbare filer på
serveren..
det vil betyde, at hvis du indtaster stien og navnet på databasen, vil
serveren forsøge at eksekverer databasefilen (hvilket vil give en fejl, da
den ikke kan kører), og ikke downloade den..


"Thorbjørn Jørgensen" <tuds47@hotmail.com> skrev i en meddelelse
news:9jk1f1$dob$1@newstoo.ericsson.se...
> Hej
> Det er muligt at det er et lidt dumt spørgsmål, men hvor placerer man en
> access-database som man helst ikke vil have downloaded, men germe kunne
læse
> fra via asp?
>
> Mvh
> Thorbjørn
>
>

---

Frank Jensen wrote in dk.edb.internet.webdesign.serverside.asp:
> det vil betyde, at hvis du indtaster stien og navnet på databasen, vil
> serveren forsøge at eksekverer databasefilen (hvilket vil give en fejl, da
> den ikke kan kører), og ikke downloade den..

Hvad så hvis man laver et link til .exe filen - højreklikker på linket og
vælger "save target as..." ?



Mvh
Jonas

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP ???
- Pædagoiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

"Jonas Astrup - html.dk" <jonas.usenet@html.dk> wrote in message
news:9jkrh9$meo$1@sunsite.dk...
> Frank Jensen wrote in dk.edb.internet.webdesign.serverside.asp:
> > det vil betyde, at hvis du indtaster stien og navnet på databasen, vil
> > serveren forsøge at eksekverer databasefilen (hvilket vil give en fejl,
da
> > den ikke kan kører), og ikke downloade den..
>
> Hvad så hvis man laver et link til .exe filen - højreklikker på linket og
> vælger "save target as..." ?
>
Jep, den eneste rigtige løsning er en database mappe uden for http scope
Eller noget andet end Access - men lad nu det ligge

mvh/Peter Lykkegaard

---

Jonas Astrup - html.dk wrote in dk.edb.internet.webdesign.serverside.asp:
> Frank Jensen wrote in dk.edb.internet.webdesign.serverside.asp:
> > det vil betyde, at hvis du indtaster stien og navnet på databasen, vil
> > serveren forsøge at eksekverer databasefilen (hvilket vil give en fejl, da
> > den ikke kan kører), og ikke downloade den..
>
> Hvad så hvis man laver et link til .exe filen - højreklikker på linket og
> vælger "save target as..." ?
>

jeg tror ikke, at det er det Frank mener. Det han taler om - som jeg læser det
- er at man på IIS lader .mdb-filer eksekveres ved http-requests til dem ...
vel egentlig ligesom ASP-filer gør det.

I dette tilfælde vil det ikke gøre nogen forskel om der laves et link og
højreklikkes på det eller der blot klikkes på et link til filen. Hvad det
betyder for performance på serveren er jeg dog ikke klar over.

Jesper Stocholm
http://stocholm.dk

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP ???
- Pædagoiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Jonas Astrup - html.dk wrote in dk.edb.internet.webdesign.serverside.asp:
> Frank Jensen wrote in dk.edb.internet.webdesign.serverside.asp:
> > det vil betyde, at hvis du indtaster stien og navnet på databasen, vil
> > serveren forsøge at eksekverer databasefilen (hvilket vil give en fejl, da
> > den ikke kan kører), og ikke downloade den..
>
> Hvad så hvis man laver et link til .exe filen - højreklikker på linket og
> vælger "save target as..." ?
>

Jeg måtte lige prøve, om det kunne lade sig gøre. Så jeg har på min lokale IIS5
konfigureret det således, at .mdb-filer bliver "pipet" over i
C:\WINNT\System32\inetsrv\asp.dll [1]

Når jeg via min browser (IE6b) forsøger at hente filen, så giver det godt nok
noget roderi/mærkelige tegn ... men hvis jeg vælger File/Save as og gemmer
resultatet som en .mdb-fil, så giver det faktisk en valid databasefil ... med
de oplysninger der lå i den oprindelige mdb-fil.

Konklusion: Det er åbenbart ikke så god en idé, som jeg først troede.

[1] Jeg vil ikke afvise, at det kan lade sig gøre ved at pipe filen over i en
anden .dll


Jesper Stocholm
http://stocholm.dk

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP ???
- Pædagoiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Hvis du kører IIS, skal du lægge databasen et sted, hvor IIS ikke har
adgang. Derefter giver du brugeren IUSR_servernavn fuld rettighed over
..mdb'en og linker til filen med en lokal stil på din webside. Den kan enten
være absolut (fx. c:\db\db.mdb) eller relativ ("..\..\db\db.mdb").

Venlig hilsen

Jacob

"Thorbjørn Jørgensen" <tuds47@hotmail.com> skrev i en meddelelse
news:9jk1f1$dob$1@newstoo.ericsson.se...
> Hej
> Det er muligt at det er et lidt dumt spørgsmål, men hvor placerer man en
> access-database som man helst ikke vil have downloaded, men germe kunne
læse
> fra via asp?
>
> Mvh
> Thorbjørn
>
>