Multidesk.be » Forums » ASP » beveiliging database (gesloten)

Helpinformatie
Dit onderwerp bevindt zich in het archief.
Het is bijgevolg niet mogelijk er nog op te reageren.
  • RSS
  • Eerste ongelezen reactie
  • Plaats een reactie
  • Abonneer mij
  • Onderwerp sluiten
0 gasten lezen dit onderwerp.
^ Onderwerp geschreven door Suriv op zaterdag 29 juli 2006 om 20:03:33.
Suriv's avatar
Multiviteit: 7607
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Mn zoveelste topic in asp:d

Hoe kan je je database beveiligen tegen downloaden? Want als ze bv. onder /db/database.mdb staat, kan iemand die in de adresbalk intikt www.blabla.be/db/database.mdb die database gwn downloaden....
^ Reactie #1 geschreven door SMG op zaterdag 29 juli 2006 om 21:39:36.
SMG's avatar
Multiviteit: 12000
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Een klein voordeel heb je natuurlijk dat je de databank kan plaatsen in welke map dat je maar wilt. De gebruiker kan dit noraal gezien nooit te weten komen waar hij precies is (maar daar zullen natuurlijk wel tools enz voor zijn om dat te klaren).

Je kan natuurlijk ook in je ASP pagina's een codering gebruiken. De ASP schrijft dan dingen in de databank die dan in codevorm staan en de ASP decodeerd dat dan. De code van de ASP kan de gebruiker normaal gezien ook nooit zien.
^ Reactie #2 geschreven door Suriv op zaterdag 29 juli 2006 om 21:43:09.
Suriv's avatar
Multiviteit: 7607
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
En professionele firma's, hoe doen die dat?
Slaan die echt alles gecodeerd op?
^ Reactie #3 geschreven door SMG op zaterdag 29 juli 2006 om 21:59:53.
SMG's avatar
Multiviteit: 12000
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Dat weet ik niet. Ik heb eens een forum in asp gedownload (via de links ergens op MD) en die zette het wachtwoord in codering ;)
^ Reactie #4 geschreven door Suriv op zaterdag 29 juli 2006 om 22:12:06.
Suriv's avatar
Multiviteit: 7607
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
OK, dus eigenlijk moet je die database in een ingewikkelde map (bv. onder /s/m/g/g/m/database.mdb) en je bent (ehum) veilig?
^ Reactie #5 geschreven door SMG op zaterdag 29 juli 2006 om 22:34:33.
SMG's avatar
Multiviteit: 12000
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Bijvoorbeeld maar ik denk dat deze techniek nogal makkelijk te breken is :p
^ Reactie #6 geschreven door Suriv op zaterdag 29 juli 2006 om 22:42:14.
Suriv's avatar
Multiviteit: 7607
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hoe zou jij het dan doen?
^ Reactie #7 geschreven door tha_tux op zondag 30 juli 2006 om 00:11:23.
tha_tux's avatar
Multiviteit: 671
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Google is je best vriend: http://www.aspnl.com/aspnl/nl/artikelen/aspnetformsbeveiliging.asp
hier staat in hoe je asp.net dingen kan beveiligen ?
Fantasie is belangrijker dan kennis, maar kennis is macht !!!
^ Reactie #8 geschreven door Suriv op zondag 30 juli 2006 om 11:07:58.
Suriv's avatar
Multiviteit: 7607
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
ASP.NET kan ik aan geen kanten, en zo te zien is het heel verschillend van gwn ASP:s
^ Reactie #9 geschreven door Martijn op maandag 31 juli 2006 om 21:51:36.
Martijn heeft nog geen avatar toegevoegd
Multiviteit: 13785
Beheerder
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Je kan je database gewoon beveiligen door ze in een map te zetten die niet toegankelijk is voor de bezoekers. Via ASP kan je deze echter WEL aanspreken ;).

Concreet voorbeeld:

Je webroot (wat de bezoeker dus te zien krijgt als hij de domeinnaam zonder subdirectories intypt) staat in c:/web/wwwroot/.

Je database staat in c:/web/database/.

Geen enkele bezoeker zal de map nu kunnen bekijken. In linux kan je zelfs eenvoudig werken met permissies op de mappen, maar dat is in principe nu niet zo veel van belang. Je kan je database ook altijd met een wachtwoord beveiligen, maar dit is niet veilig.
Met vriendelijke groeten,
Martijn Wouters
^ Reactie #10 geschreven door Suriv op maandag 31 juli 2006 om 21:56:18.
Suriv's avatar
Multiviteit: 7607
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Kan ik dat op een betalende server, ze in een andere map zetten dan de root of de subdirs van de root?

Randinformatie

Dat dat wachtwoord niet veilig is heb ik SMG al duidelijk gemaakt(6)
^ Reactie #11 geschreven door Martijn op maandag 31 juli 2006 om 22:05:50.
Martijn heeft nog geen avatar toegevoegd
Multiviteit: 13785
Beheerder
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Als je host dat aanbiedt, wat normaal het geval is... Elke zichzelf respecterende host geeft een klant een map die het hem (of haar ;)) mogelijk maakt om bestanden online te plaatsen die enkel toegankelijk zijn via bijvoorbeeld FTP of SSH.
Met vriendelijke groeten,
Martijn Wouters
^ Reactie #12 geschreven door Suriv op maandag 31 juli 2006 om 22:32:41.
Suriv's avatar
Multiviteit: 7607
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Mja, ik denk eraan voor windows hosting bij Combell, maar kweet eigenlijk nie de kwaliteit van de service, hoe de prijzen zijn ivgl met andere hosts, ....
^ Reactie #13 geschreven door Martijn op maandag 31 juli 2006 om 22:46:39.
Martijn heeft nog geen avatar toegevoegd
Multiviteit: 13785
Beheerder
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Combell is een goedkope host met een redelijk groot serverpark. Support is (wat ik gezien heb) redelijk. Heb persoonlijk zelf geen ervaring mee.
Met vriendelijke groeten,
Martijn Wouters
^ Reactie #14 geschreven door Suriv op dinsdag 8 augustus 2006 om 21:43:42.
Suriv's avatar
Multiviteit: 7607
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Weet iemand of combell een database beveiligd door een private map buiten de root, of via permissies?
^ Reactie #15 geschreven door thekid op dinsdag 8 augustus 2006 om 23:50:30.
thekid's avatar
Multiviteit: 5273
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Combell zelf misschien ;)

wat je wel kunt proberen is uw eigen encryptiealgoritme'tje schrijven, 't is niet echt zo moeilijk

CODE
  1.  
  2.  
  3. const encString = "qsdfkmjklaEZARDSffgqddsqfDSQSD54654321dsqfezra548683sdqfsqd54qsdfqsdsq"
  4.  
  5. public function encode(tekst)
  6.     dim txt
  7.     txt = ""
  8.     for x = 1 to len(tekst)
  9.        txt = txt & chr(asc(mid(tekst, x, 1)) + asc(mid(encString, x, 1)))
  10.     next
  11.     encode = txt
  12. end function
  13.  
  14. public function decode(tekst)
  15.     dim txt
  16.     txt = ""
  17.     for x = 1 to len(tekst)
  18.        txt = txt & chr(asc(mid(tekst, x, 1)) - asc(mid(encString, x, &)))
  19.     next
  20.     decode = txt
  21. end function
  22.  
  23. set db = Server.createobject("ADODB.Connection")
  24.  
  25. ' db openen ... uwen connectiestring dus
  26.  
  27. sql = "select naam from gebruikers where username = '" & encode("karel") & "' and password = '" & encode("keizer") & "'"
  28. set rs = db.execute(sql)
  29.  
  30. naam = decode(rs(0))
  31.  
  32. rs.close
  33. set rs = nothing
  34.  


dit is een optie, maar verlies dan wel je encodestring niet, of ge gaat hard moeten zoeken :D is wel "eenvoudig" te kraken, maar allé
"Human beings make life so interesting. Do you know, that in a universe so full of wonders, they have managed to invent boredom." - Death in Hogfather
^ Reactie #16 geschreven door Suriv op woensdag 9 augustus 2006 om 09:55:29.
Suriv's avatar
Multiviteit: 7607
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
eenvoudig te kraken? wrm?
^ Reactie #17 geschreven door thekid op woensdag 9 augustus 2006 om 10:00:18.
thekid's avatar
Multiviteit: 5273
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
omdat je via een brute force hack kunt werken, als je bvb weet dat je er zelf ook ergens inzit, kan je de start te weten komen van het algoritme, enige voordeel is dan natuurlijk wel dat ze er al iets van moeten kennen :D En bij lange stukken da je codeert is het wel een voordeel dat het eigenlijk afhankelijk is wat je in de encString steekt, het is geen wiskunde berekening...
"Human beings make life so interesting. Do you know, that in a universe so full of wonders, they have managed to invent boredom." - Death in Hogfather
^ Reactie #18 geschreven door Suriv op woensdag 9 augustus 2006 om 10:02:56.
Suriv's avatar
Multiviteit: 7607
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Kga dat eens proberen.

PS kheb een mailtje naar combell gestuurd om info, omdat in de FAQ's en de support nergens daarover iets staat.

Randinformatie

ik verwonder me over hoeveel mensen nu al voor de computer zitten:d
^ Reactie #19 geschreven door thekid op woensdag 9 augustus 2006 om 10:03:43.
thekid's avatar
Multiviteit: 5273
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid

Randinformatie

mijn baas zijn schuld, ie is terug uit vakantie :'(
"Human beings make life so interesting. Do you know, that in a universe so full of wonders, they have managed to invent boredom." - Death in Hogfather
  • RSS
  • Eerste ongelezen reactie
  • Plaats een reactie
  • Abonneer mij
  • Onderwerp sluiten