/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Beskytte db eller skjule den
Fra : Torsten Menzel


Dato : 05-12-01 17:05

Hej.
Hvordan undgår jeg at folk kan downloade min access database. De skal
selvfølgelig først finde ud af hvad den hedder, men så har de også fuld
adgang til den??

Eller er det nok bare at gemme den godt af vejen og give den et kryptisk
navn?


--
Torsten Menzel
www.menzel.dk
www.pcsystem.dk



 
 
Claus O (05-12-2001)
Kommentar
Fra : Claus O


Dato : 05-12-01 17:28

"Torsten Menzel" <tbm@menzel.dk> wrote

> Hej.

Ih - hvor venlig i dag?

> Hvordan undgår jeg at folk kan downloade min access database. De skal
> selvfølgelig først finde ud af hvad den hedder, men så har de også fuld
> adgang til den??

Udenfor wwwroot eller et helt skørt navn.
Så også en foreslå at omdøbe den fra .mdb til .asp, du kunne jo prøve om dette virker.
Claus




Jakob Munck (05-12-2001)
Kommentar
Fra : Jakob Munck


Dato : 05-12-01 19:59

Jeg er ikke i stand til at se hvordan man kan downloade en Access-databse
fra en site, som man ikke har FTP-adgang til, bare fordi man kender
databasens navn. Jeg har ihærdigt forsøgt (naturligvis på egne sites), men
uden resultat. Det er ikke nok at lave et link fra en anden site, og så håbe
det kan starte download, det kan det ikke. Man skal lave et link fra den
site, hvor filen der skal downloades selv befinder sig, og det er næppe
muligt, hvis det ikke er ens egen site.

Måske er min elementære viden om download ikke tilstrækkelig, men hvordan
foregår det - rent praktisk - hvis en person downloader en db fra en site,
som han ikke har FTP-adgang til?


v.h.
Jakob Munck



Peter Lykkegaard (05-12-2001)
Kommentar
Fra : Peter Lykkegaard


Dato : 05-12-01 20:15


"Jakob Munck" <jakob.munck@tdcadsl.dk> wrote in message
news:3c0e6da3$0$25360$edfadb0f@dspool01.news.tele.dk...
> Jeg er ikke i stand til at se hvordan man kan downloade en Access-databse
> fra en site, som man ikke har FTP-adgang til, bare fordi man kender
> databasens navn. Jeg har ihærdigt forsøgt (naturligvis på egne sites), men
> uden resultat. Det er ikke nok at lave et link fra en anden site, og så
håbe
> det kan starte download, det kan det ikke. Man skal lave et link fra den
> site, hvor filen der skal downloades selv befinder sig, og det er næppe
> muligt, hvis det ikke er ens egen site.
>
> Måske er min elementære viden om download ikke tilstrækkelig, men hvordan
> foregår det - rent praktisk - hvis en person downloader en db fra en site,
> som han ikke har FTP-adgang til?
>
Fordi "man" er lettere sindssyg (imho) og placerer databasen indenfor web
scope
dvs samme sted/folder som asp/image filer

Du har sandsynligvis dine mbd filer liggende udenfor webscope - fx d:\access
hvor web kan ligge under d:\inetpub\wwwroot

mvh/Peter Lykkegaard



Jakob Munck (05-12-2001)
Kommentar
Fra : Jakob Munck


Dato : 05-12-01 22:47

Jeg har stadig ikke fået besvaret mit spørgsmål: Hvordan downloader man en
Access-database fra et domæne, uden at have FTP-adgang til det ???

Nu har jeg lagt en Access-db, der hedder "jmeksp.mdb" i roden af mit domæne
www.ansgar.dk, som ligger hos Azero. Og så vil jeg opfordre interesserede
til at downloade denne database og fortælle mig hvilke tabeller den
indeholder.

Indtil det modsatte er bevist, vil jeg hævde, at det ikke kan lade sig gøre.
Hvis det modsatte skulle vise sig at være tilfældet, vil jeg meget gerne
høre, hvordan det blev gjort.

v.h.
Jakob Munck



Claus O (05-12-2001)
Kommentar
Fra : Claus O


Dato : 05-12-01 23:16

"Jakob Munck" <jakob.munck@tdcadsl.dk> wrote

> Nu har jeg lagt en Access-db, der hedder "jmeksp.mdb" i roden af mit domæne
> www.ansgar.dk, som ligger hos Azero. Og så vil jeg opfordre interesserede

Har du lagt db´en i samme dir som din index.htm?
Claus



Mark S. Rasmussen (05-12-2001)
Kommentar
Fra : Mark S. Rasmussen


Dato : 05-12-01 23:35

> Har du lagt db´en i samme dir som din index.htm?
> Claus

Ja han har, jeg kan også komme så langt som at finde filen, den siger bare
jeg ikke kan execute filen.

Hvis jeg prøver at åbne en database i access og i åben fil dialogen skriver
http://www.ansgar.dk/jmeksp.mdb. Så siger den at jeg ikke har skriveadgang
og om jeg vil åbne en skrivebeskyttet kopi. Det siger jeg ja til, og så
siger den at jeg ikke har adgang.

Altså tror jeg godt vi kan konkludere at man på langt de fleste webhoteller
ikke kan downloade access databaser.

Forresten, ang ansgar.dk - hvorfor bliver filerne kaldet .asp? Webhotellet
understøtter vist ikke .asp, for de filer kan jeg sagtens downloade :).

Mvh Mark



Jakob Munck (06-12-2001)
Kommentar
Fra : Jakob Munck


Dato : 06-12-01 08:56

Svar på spørgsmål:

1. Jo man kan køre asp på Ansgar.dk hos Azero.

2. Ja, filen "jmeksp.mdb" (som jeg opfordrer alle til at forsøge at
downloade) ligger i samme mappe som index-filen.

3. Jeg tror heller ikke at det kan lade sig gøre at downloade en simpel
..asp - fil, uden at have FTP-adgang. Men det kan vi jo afprøve, for i samme
mappe har jeg liggende en fil, der hedder "forside.asp". Jeg vil gerne høre
fra den, der kan fortælle mig hvad der står i de 10 øverste linier kode i
denne fil.

Indtil videre må jeg konkludere, at det ikke kan lade sig gøre. Men jeg vil
stadig gerne belæres, hvis jeg tager fejl.


v.h.
Jakob Munck



Jonathan Stein (06-12-2001)
Kommentar
Fra : Jonathan Stein


Dato : 06-12-01 20:41

"Mark S. Rasmussen" wrote:

> Altså tror jeg godt vi kan konkludere at man på langt de fleste webhoteller
> ikke kan downloade access databaser.

Det var en meget modig slutning ud fra ét tilfælde. Det er ikke default
opsætning på IIS, så jeg ville ikke være alt for sikker... Desuden vil jeg
mene, at placering uden for web-scope altid er at foretrække.

M.v.h.

Jonathan

--
Start med PHP, Perl eller JSP uden at omskrive al din gamle ASP-kode.
jsp-hotel.dk tilbyder nu Chili!Soft ASP på alle hoteller.
http://www.jsp-hotel.dk/





Jesper Stocholm (06-12-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 06-12-01 21:47

Jonathan Stein wrote in news:3C0FC9CE.C8220981@image.dk:

> "Mark S. Rasmussen" wrote:
>
>> Altså tror jeg godt vi kan konkludere at man på langt de fleste
>> webhoteller ikke kan downloade access databaser.
>
> Det var en meget modig slutning ud fra ét tilfælde. Det er ikke
> default
> opsætning på IIS, så jeg ville ikke være alt for sikker... Desuden vil
> jeg mene, at placering uden for web-scope altid er at foretrække.
>

kan du ikke forklare, hvorfor du mener, at det er mere sikkert at gemme en
fil udenfor webscope ... i forhold til at give den et "ugætteligt navn" ?

:)

--
Jesper Stocholm - http://stocholm.dk

Gad vide hvor lang tid der går, inden danskerne
finder ud af, at de har købt katten i sækken til valget ...

Peter Lykkegaard (06-12-2001)
Kommentar
Fra : Peter Lykkegaard


Dato : 06-12-01 22:22


"Jesper Stocholm" <spam200112@stocholm.dk> wrote in message
news:Xns916FDDA1918BFspamstocholmdk@192.38.208.81...
> Jonathan Stein wrote in news:3C0FC9CE.C8220981@image.dk:
>
> > "Mark S. Rasmussen" wrote:
> >
> >> Altså tror jeg godt vi kan konkludere at man på langt de fleste
> >> webhoteller ikke kan downloade access databaser.
> >
> > Det var en meget modig slutning ud fra ét tilfælde. Det er ikke
> > default
> > opsætning på IIS, så jeg ville ikke være alt for sikker... Desuden vil
> > jeg mene, at placering uden for web-scope altid er at foretrække.
> >
>
> kan du ikke forklare, hvorfor du mener, at det er mere sikkert at gemme en
> fil udenfor webscope ... i forhold til at give den et "ugætteligt navn" ?
>
Det kræver vel egentlig også at du forklarer en undrende skare hvorfor
access databaserne partout _skal_ ligge i webscope?
Personlig ville jeg nødig sætte en ulv til at vogte får - om fårene er nok
så udklædte

I den sidste ende er det jo også en af grundende til at man placerer
webservere i DMZ og database- /mail servere indenfor firewallen

mvh/Peter Lykkegaard



Jesper Stocholm (06-12-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 06-12-01 22:53

Peter Lykkegaard wrote in news:9uonmk$efe$1@news.net.uni-c.dk:

>
> "Jesper Stocholm" <spam200112@stocholm.dk> wrote in message
> news:Xns916FDDA1918BFspamstocholmdk@192.38.208.81...
>> Jonathan Stein wrote in news:3C0FC9CE.C8220981@image.dk:
>>
>> > "Mark S. Rasmussen" wrote:
>> >
>> >> Altså tror jeg godt vi kan konkludere at man på langt de fleste
>> >> webhoteller ikke kan downloade access databaser.
>> >
>> > Det var en meget modig slutning ud fra ét tilfælde. Det er ikke
>> > default
>> > opsætning på IIS, så jeg ville ikke være alt for sikker... Desuden
>> > vil jeg mene, at placering uden for web-scope altid er at
>> > foretrække.
>> >
>>
>> kan du ikke forklare, hvorfor du mener, at det er mere sikkert at
>> gemme en fil udenfor webscope ... i forhold til at give den et
>> "ugætteligt navn" ?
>>
> Det kræver vel egentlig også at du forklarer en undrende skare hvorfor
> access databaserne partout _skal_ ligge i webscope?

jeg har ikke taget stilling til, hvor de skal ligge ... endsige om de
absolut _skal_ ligge i webscope. Det eneste jeg stiller mig uforstående
overfor er, at det skulle være mere sikkert at lægge dem i webscope.

> Personlig ville jeg nødig sætte en ulv til at vogte får - om fårene er
> nok så udklædte
>

det er klart, at en placering af en Access-databasefil i webscope
afstedkommer nogle andre problemer ... som at IUSR dermed skal have
skriverettighed til biblioteket, hvori denne ligger - hvis der skal kunne
opdateres i databasen ... men indtil nu har vi kun talt om, at en
databasefil er bedre beskyttet imod download hvis den ligger udenfor
webscope. Det er dette jeg ikke er enig i ... og dette mangler man stadig at
præcisere.

Jeg ser det på denne måde:

1.
Hvis db er placeret udenfor webscope, så skal jeg gætte et FTP-password for
at få fat i filen.

2.
Hvis db ligger i webscope, så skal jeg gætte et filnavn for at få fat i
filen.

Hvor er forskellen ?

> I den sidste ende er det jo også en af grundende til at man placerer
> webservere i DMZ og database- /mail servere indenfor firewallen
>

måske ... det ved jeg ikke så meget om :)

--
Jesper Stocholm - http://stocholm.dk

Gad vide hvor lang tid der går, inden danskerne
finder ud af, at de har købt katten i sækken til valget ...

Peter Lykkegaard (06-12-2001)
Kommentar
Fra : Peter Lykkegaard


Dato : 06-12-01 23:06


"Jesper Stocholm" <spam200112@stocholm.dk> wrote in message
news:Xns916FE8D14A947spamstocholmdk@192.38.208.81...
> (...) men indtil nu har vi kun talt om, at en
> databasefil er bedre beskyttet imod download hvis den ligger udenfor
> webscope. Det er dette jeg ikke er enig i ... og dette mangler man stadig
at
> præcisere.
>
> Jeg ser det på denne måde:
>
> 1.
> Hvis db er placeret udenfor webscope, så skal jeg gætte et FTP-password
for
> at få fat i filen.
>
Det har du ret i hvis ens website ligger hos en udbyder
Meeen, vi er da et par stykker der administrerer egne webservere - og her er
der _ikke_ ftp adgang til access bassen -

mvh/Peter Lykkegaard



Jesper Stocholm (06-12-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 06-12-01 23:37

Peter Lykkegaard wrote in news:9uoq88$l0c$1@news.net.uni-c.dk:

>
> "Jesper Stocholm" <spam200112@stocholm.dk> wrote in message
> news:Xns916FE8D14A947spamstocholmdk@192.38.208.81...
>> (...) men indtil nu har vi kun talt om, at en
>> databasefil er bedre beskyttet imod download hvis den ligger udenfor
>> webscope. Det er dette jeg ikke er enig i ... og dette mangler man
>> stadig at præcisere.
>>
>> Jeg ser det på denne måde:
>>
>> 1.
>> Hvis db er placeret udenfor webscope, så skal jeg gætte et
>> FTP-password for at få fat i filen.
>>
> Det har du ret i hvis ens website ligger hos en udbyder
> Meeen, vi er da et par stykker der administrerer egne webservere - og
> her er der _ikke_ ftp adgang til access bassen -
>

klart ... :) ... men jeg tror trods alt, at den måde du/jeg administrerer
adgang til de servere vi administrerer vil være af mere akademisk interesse
for de fleste herinde.

--
Jesper Stocholm - http://stocholm.dk

Gad vide hvor lang tid der går, inden danskerne
finder ud af, at de har købt katten i sækken til valget ...

Jonathan Stein (07-12-2001)
Kommentar
Fra : Jonathan Stein


Dato : 07-12-01 15:49

Jesper Stocholm wrote:

> >> Altså tror jeg godt vi kan konkludere at man på langt de fleste
> >> webhoteller ikke kan downloade access databaser.
> >
> > Det var en meget modig slutning ud fra ét tilfælde. Det er ikke
> > default
> > opsætning på IIS, så jeg ville ikke være alt for sikker... Desuden vil
> > jeg mene, at placering uden for web-scope altid er at foretrække.
>
> kan du ikke forklare, hvorfor du mener, at det er mere sikkert at gemme en
> fil udenfor webscope ... i forhold til at give den et "ugætteligt navn" ?

I en ideel verden, ville det være lige godt, men ved at placere databasen
uden for web-scope, er det lidt længere til ulykkerne.
Enhver fejl (i koden eller i IIS) som afslører databasens navn, giver
samtidig adgang til databasen. Som det har været nævnt, kunne det være en
error-msg, der ikke blev fanget, men det kunne også være en IIS-fejl - f.eks.
har der jo været en buck, der gjorde det muligt at se kildekoden til *.asp
filer.
Sandsynligheden for at kunne lokke kildekoden til en *.asp fil eller en
fil-liste ud af web-serveren anser jeg som større end sandsynligheden for at
kunne lokke et FTP-password ud af serveren.
Man får simpelthen et ekstra sikkerhedsniveau.

M.v.h.

Jonathan

--
Start med PHP, Perl eller JSP uden at omskrive al din gamle ASP-kode.
jsp-hotel.dk tilbyder nu Chili!Soft ASP på alle hoteller.
http://www.jsp-hotel.dk/





Jesper Stocholm (06-12-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 06-12-01 13:31

Jakob Munck wrote in
news:3c0e9512$0$25358$edfadb0f@dspool01.news.tele.dk:

> Jeg har stadig ikke fået besvaret mit spørgsmål: Hvordan downloader man
> en Access-database fra et domæne, uden at have FTP-adgang til det ???
>
> Nu har jeg lagt en Access-db, der hedder "jmeksp.mdb" i roden af mit
> domæne www.ansgar.dk, som ligger hos Azero. Og så vil jeg opfordre
> interesserede til at downloade denne database og fortælle mig hvilke
> tabeller den indeholder.
>
> Indtil det modsatte er bevist, vil jeg hævde, at det ikke kan lade sig
> gøre. Hvis det modsatte skulle vise sig at være tilfældet, vil jeg
> meget gerne høre, hvordan det blev gjort.
>

det er lidt noget pjat ... for det skyldes, at din server er sat til at
opføre sig på denne måde. Årsagen er, at din server er sat til at afvikle
..mdb-filer på selve serveren ved requests af disse ... men at det bib filen
ligger i ikke tillader dette. Det er ikke standard-opsætning af en
IIS/Windows ... men noget der er bevidst sat op (svjv). På
http://stocholm.dk/test.mdb ligger der fx en Access-fil, og den kan man fx
fint downloade. Tricket med at kalde den .asp virker også kun nogle gange
.... men slet ikke konsistent nok til at "det er løsningen".

Den eneste løsninger enten at lægge den udenfor webscope eller - lige så
godt - at give den et mærkeligt navn og lægge den i webscope.

--
Jesper Stocholm - http://stocholm.dk

Gad vide hvor lang tid der går, inden danskerne
finder ud af, at de har købt katten i sækken til valget ...

Jørn Andersen (07-12-2001)
Kommentar
Fra : Jørn Andersen


Dato : 07-12-01 02:07

On Thu, 6 Dec 2001 12:30:36 +0000 (UTC), Jesper Stocholm
<spam200112@stocholm.dk> wrote:

>eller - lige så
>godt - at give den et mærkeligt navn og lægge den i webscope.

Det kræver så *desuden*, at man har sikret sig, at der ikke kan
fremkomme fx fejlmeddelelser, hvor databsens navn indgår.
Og det tør jeg ikke lægge hovedet på blokken på ... :)

Mvh. Jørn

--
Jørn Andersen
Brønshøj

Jesper Stocholm (07-12-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 07-12-01 09:18

Jørn Andersen wrote in news:gd501uoqoa2fne9igk3nju5v9lgmroh2jo@4ax.com:

> On Thu, 6 Dec 2001 12:30:36 +0000 (UTC), Jesper Stocholm
> <spam200112@stocholm.dk> wrote:
>
>>eller - lige så
>>godt - at give den et mærkeligt navn og lægge den i webscope.
>
> Det kræver så *desuden*, at man har sikret sig, at der ikke kan
> fremkomme fx fejlmeddelelser, hvor databsens navn indgår.
> Og det tør jeg ikke lægge hovedet på blokken på ... :)
>

On Error resume ? ...

--
Jesper Stocholm - http://stocholm.dk

Gad vide hvor lang tid der går, inden danskerne
finder ud af, at de har købt katten i sækken til valget ...

Tumlehund (05-12-2001)
Kommentar
Fra : Tumlehund


Dato : 05-12-01 23:09

"Claus O" <clausolsen@NOSPAMhotmail.com> wrote in message
news:9ulhv9$eg6$1@sunsite.dk...
> "Torsten Menzel" <tbm@menzel.dk> wrote
>
> > Hej.
>
> Ih - hvor venlig i dag?
>
> > Hvordan undgår jeg at folk kan downloade min access database. De skal
> > selvfølgelig først finde ud af hvad den hedder, men så har de også fuld
> > adgang til den??
>
> Udenfor wwwroot eller et helt skørt navn.
> Så også en foreslå at omdøbe den fra .mdb til .asp, du kunne jo prøve om
dette virker.
> Claus

Du kan også beskytte den med password (ved dog ikke hvor nemt det er at
cracke)



Peter Lykkegaard (06-12-2001)
Kommentar
Fra : Peter Lykkegaard


Dato : 06-12-01 19:51


"Tumlehund" <patriot@sol.dk> wrote in message
news:3c0e9b13$0$29621$edfadb0f@dspool01.news.tele.dk...
> "Claus O" <clausolsen@NOSPAMhotmail.com> wrote in message
> news:9ulhv9$eg6$1@sunsite.dk...
> > "Torsten Menzel" <tbm@menzel.dk> wrote
> >
> > > Hej.
> >
> > Ih - hvor venlig i dag?
> >
> > > Hvordan undgår jeg at folk kan downloade min access database. De skal
> > > selvfølgelig først finde ud af hvad den hedder, men så har de også
fuld
> > > adgang til den??
> >
> > Udenfor wwwroot eller et helt skørt navn.
> > Så også en foreslå at omdøbe den fra .mdb til .asp, du kunne jo prøve om
> dette virker.
> > Claus
>
> Du kan også beskytte den med password (ved dog ikke hvor nemt det er
at
> cracke)
>
Ufatteligt nemt :-\

mvh/Peter Lykkegaard



Rune Andersen (10-12-2001)
Kommentar
Fra : Rune Andersen


Dato : 10-12-01 18:23


"Peter Lykkegaard" <polonline@hotmail.com> wrote in message
news:9uoer9$16oe$1@news.net.uni-c.dk...
>
> "Tumlehund" <patriot@sol.dk> wrote in message
> news:3c0e9b13$0$29621$edfadb0f@dspool01.news.tele.dk...
> > > >
> > Du kan også beskytte den med password (ved dog ikke hvor nemt det er
> at
> > cracke)
> >
> Ufatteligt nemt :-\

Så vidt jeg ved er det let at få fat i kodeordet til databasen, men en del
sværere hvis man benytter en arbejdsgruppe fil (sikkerhed på brugerniveau).
Sidst jeg checkede var der programmer til <=access 97 men ikke til
access2000 (endnu) der kunne komme med kodeordene.
Der findes en access security faq på
http://support.microsoft.com/support/kb/articles/q165/0/09.asp

/Rune



Peter Lykkegaard (10-12-2001)
Kommentar
Fra : Peter Lykkegaard


Dato : 10-12-01 21:29


"Rune Andersen" <ryyn@iname.com> wrote in message
news:ed6R7.6027$z4.734328@news000.worldonline.dk...
>
> Så vidt jeg ved er det let at få fat i kodeordet til databasen, men en del
> sværere hvis man benytter en arbejdsgruppe fil (sikkerhed på
brugerniveau).
> Sidst jeg checkede var der programmer til <=access 97 men ikke til
> access2000 (endnu) der kunne komme med kodeordene.

Prøv lige at fedte med lille sag den på en webserver hos en udbyder
Det er imho at gå over åen efter vand for at sikre ens access ting mod
uautoriseret adgang

mvh/Peter Lykkegaard



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408941
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste