Archief - ASP.Net : bestanden beveiligen

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
R

Rutger

Legacy Member
Ik heb dus voor men eindwerk een applicatie geschreven in ASP.Net. Maar stel nu dat ik in URL balk het url van website typ en dan /database.mdb derachter dan kunnen gebruikers gewoon de database downloade en dus alle "privé" files zien? Hoe kan ik dit oplossen of beveiligen?

Grtz Rutger
e

escobar98

Legacy Member
uw database moet ge buiten uw inetpub-map zetten. Dan kan er absoluut niemand aan.
s

servi

Legacy Member
moderator noot :
je topic bevat geen prefix, een verkeerd prefix of heeft een onduidelijke titel.
Gelieve een duidelijke titel met een bijhorend correct prefix te gebruiken.
Voor meer informatie over prefixen kan je terecht op regels en prefixen !!!.
Je topic is aangepast en je hebt een een waarschuwing gekregen, gelieve in het vervolg er op te letten.
A

Asshen

Legacy Member
Zoals escobar98 zei.
Je plaatst de database in een andere folder, buiten je webapplicatie folder.

K.
R

Rutger

Legacy Member
Asshen zei:
Zoals escobar98 zei.
Je plaatst de database in een andere folder, buiten je webapplicatie folder.

K.
Klik om te vergroten...

Ja ok,ik zet de database dus in een ander map.. maar moet die database dan toch ook mee naar ftp server uploaden he, of niet? Want snap het toch nog altij niet zo goed. Als ze dan naam map / naam database ingeven zijn ze er toch nog, of niet?
A

Asshen

Legacy Member
Als je gratis of goedkope ASP.NET hosting hebt, dan zal je idd een subfolder van je account moeten gebruiken, spijtig genoeg...
Bij degelijke hosting zal je een locatie toegewezen krijgen los van je web applicatie folder.

Een goeie optie in het eerste geval is een 'moeilijk' paswoord op je database te zetten. Die zal weliswaar wel gekraakt kunnen worden door mensen die dat perse willen, maar 'het grote publiek' zal dat niet kunnen.

Noot:
Bij degelijke hosting zal je een SQL server database krijgen, daarmee heb je al die problemen niet :)

K.

[edit]
Ik bedenk nog iets.
Waarom zet je je databse niet in een subfolder van je webapplicatie, met een 'vreemde' naam voor die folder, bvb. "./kjsehhqfgherljhgljhgerkj" of zo ?
Als je werkt met ASP.NET, zal je achterliggende code waarschijnlijk meegecompileerd zijn in de dll voor jouw ASP.NET applicatie (en dan ook de url naar je database), waardoor men al minder vlug die database folder zal kunnen achterhalen.
[/edit]
A

Akira

Legacy Member
je kan via de admin van iis instellen dat een submap niet kan worden weergegeven, zo kan er niemand aan uwen db
N

NoReason

Legacy Member
Web.config is normaal gezien niet opvraagbaar... dus daarin de link naar de DB zetten en je database een moeilijke naam geven, dus nie database.mdb :)
o

orez

Legacy Member
al die moeilijke oplossing

ACCESS -- EXTRA -- BEVEILIGING -- DATABASEWACHTWOORD INSTELLEN

is maar tipje...
o

orez

Legacy Member
NoReason zei:
Web.config is normaal gezien niet opvraagbaar... dus daarin de link naar de DB zetten en je database een moeilijke naam geven, dus nie database.mdb :)
Klik om te vergroten...

codebehind is ook niet opvraagbaar ...
A

Asshen

Legacy Member
NoReason zei:
Web.config is normaal gezien niet opvraagbaar... dus daarin de link naar de DB zetten en je database een moeilijke naam geven, dus nie database.mdb :)
Klik om te vergroten...

Kan je veriabelen in je Web.config steken ? Nee toch ?
Je bedoelt waarschijnlijk global.asax !?

K.
G

GLX

Legacy Member
Ik bedenk nog iets.
Waarom zet je je databse niet in een subfolder van je webapplicatie, met een 'vreemde' naam voor die folder, bvb. "./kjsehhqfgherljhgljhgerkj" of zo ?
Als je werkt met ASP.NET, zal je achterliggende code waarschijnlijk meegecompileerd zijn in de dll voor jouw ASP.NET applicatie (en dan ook de url naar je database), waardoor men al minder vlug die database folder zal kunnen achterhalen.
Klik om te vergroten...

Dit helpt niet, je kan perfect .net file decompilen met eenvoudige en gratis tooltjes, de database is zo gevonden.

In normale omstandigheden krijg je bij je hosting een private-folder of een db-folder die op root niveau staat.
--root
----db (of private)
------database.mdb
----wwwroot
------index.aspx

zet je database dan dus in die map, normaal gezien heb je dan ook automatisch de rechten voor het schrijven in elk bestand in die map. Als je je database in een map in de wwwroot zet, heb je normaal gezien geen rechten tot schrijven in deze map.
Tenzij je in de settings van je domein kan aanpassen welke rechten je applicatie heeft en welke rechten gebruikers hebben.

lokaal kan je elk bestand in de iis beveiligen op eender welk niveau voor surfende gebruikers.

Om lokaal te kunnen schrijven moet je in asp.net rechten toekennen op file niveau (dwz: rechtermuisknop > eigenschappen > beveiliging > gebruiker toevoegen: "aspnet" > alle rechten
d

deadlock

Legacy Member
GLX zei:
Dit helpt niet, je kan perfect .net file decompilen met eenvoudige en gratis tooltjes, de database is zo gevonden.
Klik om te vergroten...
Idd , dat compilen van asp.net is eigenlijk maar een veredeld caching systeem...
A

Asshen

Legacy Member
GLX zei:
Dit helpt niet, je kan perfect .net file decompilen met eenvoudige en gratis tooltjes, de database is zo gevonden.
Klik om te vergroten...

Jah, dat weet ik ook wel.
Maar je meot eens rekenen hoeveel % van je bezoekers dat ook weten.
Dat zal minder dan 0,5% zijn.
G

GLX

Legacy Member
en dan nog, vanaf dat er een mogelijkheid bestaat om deftig je data af te schermen van het publiek vind ik dat je dat moet doen, en niet kiezen voor de luie en eenvoudigste oplossing.
Als je in je database informatie over gebruikers van je site opslaat, dan moet je die informatie beschermen tegen eender elke welke persoon met slechte intenties op welke manier ook, koste wat het kost.
Zeker als het voor een eindwerk is, de eerste vraag bij de presentatie voor een jury is: waarom zo'n exotische naam voor je database? weet je dan niet dat er beter manieren zijn om je database te beschermen... Zo kom je niet goed voor de dag.

Bij ons was het op school zo: als je database niet deftig beschermd was naar de buitenwereld toe, verloor je al de helft van de punten, om nog maar is duidelijk te maken hoe belangrijk internet en beveiliging is.

En wees maar zeker; dat is een pak meer dan 0,5%.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan