/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Kryptering af database forbindelse
Fra : Kenneth


Dato : 19-04-06 19:25

Hej!

Er det muligt at kryptere brugernavnet og password i en connectionstring?

Den står jo bare som plain text i kildekoden - hvilket jo ikke er særlig
sikkert.

Har læst at man kan id ASP.NET 2.0 vha. konfigurationsfilen web.config.

Men kan man ikke i det "gamle" ASP ?

Mvh.

Kenneth



 
 
MooreHojer (19-04-2006)
Kommentar
Fra : MooreHojer


Dato : 19-04-06 20:51

> Er det muligt at kryptere brugernavnet og password i en
> connectionstring?
>
> Den står jo bare som plain text i kildekoden - hvilket jo ikke er
> særlig sikkert.

Hvis du mener den del af din kode hvor du opretter forbindelse til din
database, så kan brugeren ikke se den del af din kode.
Når browseren kalder en asp-side så behandles den på serveren hvor alle
udregninger og databaseforbindelser med mere behandles og så skaber
serveren noget html/tekst ud fra det og det er denne tekst der sendes
til browseren.
Så hvis man siger vis kilde i sin browser vil man kun kunne se
html-koderne og ikke noger ASP... du kan jo prøve det af...

--
MooreHojer


Tom Jensen (19-04-2006)
Kommentar
Fra : Tom Jensen


Dato : 19-04-06 21:02

MooreHojer skrev:
>> Er det muligt at kryptere brugernavnet og password i en connectionstring?
>>
>> Den står jo bare som plain text i kildekoden - hvilket jo ikke er
>> særlig sikkert.
>
>
> Hvis du mener den del af din kode hvor du opretter forbindelse til din
> database, så kan brugeren ikke se den del af din kode.
> Når browseren kalder en asp-side så behandles den på serveren hvor alle
> udregninger og databaseforbindelser med mere behandles og så skaber
> serveren noget html/tekst ud fra det og det er denne tekst der sendes
> til browseren.
> Så hvis man siger vis kilde i sin browser vil man kun kunne se
> html-koderne og ikke noger ASP... du kan jo prøve det af...
>
og den bruger der står for connection, må jo ikke have nogen høj
status i databasen, så hvis navn og kode bliver sniffet, er der
ikke sket nogen skade ved det.

Med venlig hilsen

Tom Jensen
- Læs mere om asp og databaser her -
www.ffsoft.dk

Kenneth (04-05-2006)
Kommentar
Fra : Kenneth


Dato : 04-05-06 20:55

> Når browseren kalder en asp-side så behandles den på serveren hvor alle
> udregninger og databaseforbindelser med mere behandles og så skaber
> serveren noget html/tekst ud fra det og det er denne tekst der sendes til
> browseren.

Ja, det er meget vel klar over. Jeg mener også når først hackeren har
kompromitteret serveren, at det ikke skal være muligt at læse
brugernavn/password i kildekoden.

Mvh.

Kenneth



Michael Zedeler (19-04-2006)
Kommentar
Fra : Michael Zedeler


Dato : 19-04-06 21:58

Kenneth wrote:
> Er det muligt at kryptere brugernavnet og password i en connectionstring?
>
> Den står jo bare som plain text i kildekoden - hvilket jo ikke er særlig
> sikkert.

Men det der så vil stå i kildekoden i stedet, vil jo altid være
tilstrækkeligt til at man vil kunne få adgang til databasen. Ellers kan
man jo ikke få adgang fra ASP. Så at kryptere det får du nok ikke meget
ud af.

Hvis adgangen til databasen ikke alene er afhængig af en nøgle, men også
hvilket ip-nummer klienten har, har du begrænset problemet med løbske
passwords, da vedkommende samtidig skal skaffe sig adgang til at benytte
det pågældende ip-nummer. Det bruger jeg ofte til forskellige former for
adgangskontrol.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
Visit my home page at http://michael.zedeler.dk/
Get my vcard at http://michael.zedeler.dk/vcard.vcf

Per Rasmussen (19-04-2006)
Kommentar
Fra : Per Rasmussen


Dato : 19-04-06 22:29

Michael Zedeler wrote in dk.edb.internet.webdesign.serverside.asp:
> Kenneth wrote:
> > Er det muligt at kryptere brugernavnet og password i en connectionstring?
> >
> > Den står jo bare som plain text i kildekoden - hvilket jo ikke er særlig
> > sikkert.
>
> Men det der så vil stå i kildekoden i stedet, vil jo altid være
> tilstrækkeligt til at man vil kunne få adgang til databasen. Ellers kan
> man jo ikke få adgang fra ASP. Så at kryptere det får du nok ikke meget
> ud af.

Nå det vil jeg da godt have forklaret lidt mere, for jeg kikkede lige en af
mine sider efter, der henter data i en database, og der fandt jeg ikke en
eneste lille bitte smule ASP-kode, og slet ikke noget der fortalte at tingene
blev hentet fra en database

PerR

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Michael Zedeler (20-04-2006)
Kommentar
Fra : Michael Zedeler


Dato : 20-04-06 21:42

Per Rasmussen wrote:
> Michael Zedeler wrote in dk.edb.internet.webdesign.serverside.asp:
>
>>Kenneth wrote:
>>
>>>Er det muligt at kryptere brugernavnet og password i en connectionstring?
>>>
>>>Den står jo bare som plain text i kildekoden - hvilket jo ikke er særlig
>>>sikkert.
>>
>>Men det der så vil stå i kildekoden i stedet, vil jo altid være
>>tilstrækkeligt til at man vil kunne få adgang til databasen. Ellers kan
>>man jo ikke få adgang fra ASP. Så at kryptere det får du nok ikke meget
>>ud af.
>
> Nå det vil jeg da godt have forklaret lidt mere, for jeg kikkede lige en af
> mine sider efter, der henter data i en database, og der fandt jeg ikke en
> eneste lille bitte smule ASP-kode, og slet ikke noget der fortalte at tingene
> blev hentet fra en database

Hvis der ikke er noget ASP-kode i, kan det være så meget andet. Så er
det nok bedst du opretter et nyt indlæg i dk.edb.webdesign.serverside og
poster din kode der, så folk kan hjælpe med at finde ud af hvad det er
for noget.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
Visit my home page at http://michael.zedeler.dk/
Get my vcard at http://michael.zedeler.dk/vcard.vcf

Jens Gyldenkærne Cla~ (19-04-2006)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 19-04-06 22:39

Per Rasmussen skrev:

> Nå det vil jeg da godt have forklaret lidt mere, for jeg
> kikkede lige en af mine sider efter, der henter data i en
> database, og der fandt jeg ikke en eneste lille bitte smule
> ASP-kode, og slet ikke noget der fortalte at tingene blev
> hentet fra en database

Har du overset en eller flere include-sætninger?`

Man kan i øvrigt godt kode asp-kode så det ikke er så let at læse -
ved at bruge MS Script Encoder. Det får asp-koden til at blive en
masse mere eller mindre tilfældige ascii-tegn.
Problemet er bare at der også findes et (gratis) decoder-program,
som med et snuptag forvandler den kodede udgave til en helt normal
asp-fil - så script-encoding giver ingen reel beskyttelse af koden.

Se evt. siden her: <http://www.aspheute.com/english/20011123.asp>.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Jesper Stocholm (20-04-2006)
Kommentar
Fra : Jesper Stocholm


Dato : 20-04-06 09:30

Jens Gyldenkærne Clausen <jens@gyros.invalid> wrote in
news:Xns97AAF082FCCB8jcdmfdk@gyrosmod.cybercity.dk:

> Per Rasmussen skrev:
>
>> Nå det vil jeg da godt have forklaret lidt mere, for jeg
>> kikkede lige en af mine sider efter, der henter data i en
>> database, og der fandt jeg ikke en eneste lille bitte smule
>> ASP-kode, og slet ikke noget der fortalte at tingene blev
>> hentet fra en database
>
> Har du overset en eller flere include-sætninger?`
>
> Man kan i øvrigt godt kode asp-kode så det ikke er så let at læse -
> ved at bruge MS Script Encoder. Det får asp-koden til at blive en
> masse mere eller mindre tilfældige ascii-tegn.
> Problemet er bare at der også findes et (gratis) decoder-program,
> som med et snuptag forvandler den kodede udgave til en helt normal
> asp-fil - så script-encoding giver ingen reel beskyttelse af koden.

I traditionel ASP-forstand er - så vidt jeg ved - den eneste "løsning" at
kode en VB-komponent, hvor connection-data til databasen er kodet i. Det
gør det i hvert fald relativt svært at få den ud igen ... men betyder jo
så, at komponenten skal gendannes i forbindelse med skift af passwords.

Jeg skal dog huske at sige, at jeg ikke ved, hvor svært/let det er at danne
den oprindelige kildekode fra en VB-komponent.

--
Jesper Stocholm
http://stocholm.dk
Hvor køber du slik, cola eller smøger online?
Send linket til mig via http://ekiosk.dk

Kenneth (04-05-2006)
Kommentar
Fra : Kenneth


Dato : 04-05-06 21:01

> Man kan i øvrigt godt kode asp-kode så det ikke er så let at læse -
> ved at bruge MS Script Encoder. Det får asp-koden til at blive en
> masse mere eller mindre tilfældige ascii-tegn.
> Problemet er bare at der også findes et (gratis) decoder-program,
> som med et snuptag forvandler den kodede udgave til en helt normal
> asp-fil - så script-encoding giver ingen reel beskyttelse af koden.
>
> Se evt. siden her: <http://www.aspheute.com/english/20011123.asp>.
> --
Tak, det vil jeg prøve at kigge nærmere på. Det gør det ihvertfal lidt
vanskeligere at opspore.

-Kenneth



Kenneth (04-05-2006)
Kommentar
Fra : Kenneth


Dato : 04-05-06 21:01

> Man kan i øvrigt godt kode asp-kode så det ikke er så let at læse -
> ved at bruge MS Script Encoder. Det får asp-koden til at blive en
> masse mere eller mindre tilfældige ascii-tegn.
> Problemet er bare at der også findes et (gratis) decoder-program,
> som med et snuptag forvandler den kodede udgave til en helt normal
> asp-fil - så script-encoding giver ingen reel beskyttelse af koden.
>
> Se evt. siden her: <http://www.aspheute.com/english/20011123.asp>.
> --
Tak, det vil jeg prøve at kigge nærmere på. Det gør det ihvertfal lidt
vanskeligere at opspore.

-Kenneth



--
----------------------------------------
Jeg beskyttes af den gratis SPAMfighter til privatbrugere.
Den har indtil videre sparet mig for at få 4932 spam-mails.
Betalende brugere får ikke denne besked i deres e-mails.
Hent gratis SPAMfighter her: www.spamfighter.dk



Jens Gyldenkærne Cla~ (04-05-2006)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 04-05-06 21:05

Kenneth skrev:

>> Man kan i øvrigt godt kode asp-kode så det ikke er så let at
>> læse - ved at bruge MS Script Encoder.

> Tak, det vil jeg prøve at kigge nærmere på. Det gør det
> ihvertfal lidt vanskeligere at opspore.

Som nævnt er det en meget ringe beskyttelse. Hvis folk først har
fået adgang til din server, er det en meget smal sag at afkode evt.
obfuskeret kode.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste