Access DB schützen!

von Attila Krick » Dienstag, 7. Oktober 2003



Hi NG,

ich hab eine ASP-Applikation die auf eine Access DB zugreift.
Die DB ist mit einem Kennwort geschützt und an den Code kommt keiner ran, da
alle INCs die Endung .ASP haben.
Nun weiß ich ja, dass, wenn man den URL incl DB-Namen kenn sich die
MDB-Datei herunterladen kann.

Nun meine Frage, wenn der Angreifer nicht den Pfad kenn wie wahrscheinlich
ist es die MDB-Datei zubekommen?

Grüsse

Attila Krick





Re: Access DB schützen!

von Olaf Lüder [MVP] » Dienstag, 7. Oktober 2003



Hallo Attila,




Nein, normalerweise nicht, da man die Datenbank entweder außerhalb des
Web-Roots ablegt oder dem IIS die Leserechte für das Verzeichnis, in dem
die DB liegt, entzieht.


Kommt darauf an, wie leicht dieser zu erraten ist oder ob er im Rahmen
einer Fehlermeldung ggfs. sogar gleich im Klartext auf dem Bildschirm
erscheint ;-)

--
Gruß, Olaf
MS MVP ASP / ASP.NET



Re: Access DB schützen!

von Attila Krick » Dienstag, 7. Oktober 2003








Z.Zt. ist es nicht so!

wahrscheinlich

Stimmt, aber die Fehlermeldung weißt nicht auf den Path hin da die
Connection mittels DSN erfolgt und man höchstens den DSN namen der Datenbank
sieht. Alos meiner Meinung nach ist das Sicher auch wenn die DB direkt im
WEBRoot Verzeichnis liegt, ODER?








Re: Access DB schützen!

von Stefan Falz [MVP] » Dienstag, 7. Oktober 2003



Hallo Attila,




Dann änder das doch. Geht ganz einfach. Falls du FrontPage verwendest
(und der Server die FP-Extensions installiert hat) auch damit.


Nö. Aber das kommt auf die enthaltenen Daten. Wenn die interessant genug
sind, wird sich vielleicht jemand die Mühe eine BruteForce- oder Dictionary
atacke machen und alle evtl. Kombinationen durchprobieren. Das dauert zwar,
kann aber für dich zu einem Problem werden.

--
Tschau, Stefan
MS MVP für ASP / ASP.Net
http://aspnet.codebooks.de/ - Das ASP.Net Codebook (VB.Net)
http://asp.codebooks.de/ - Das ASP Codebook
http://www.aspfaq.de/ - Active Server Pages FAQ




Re: Access DB schützen!

von Olaf Lüder [MVP] » Dienstag, 7. Oktober 2003



Hallo Attila,




Dann wird es aber Zeit!


Nein; es ist potentiell >un<sicher. Mit ensprechend großem Aufwand
lassen sich Name und Verzeichnis der DB bestimmen.

Warum überhaupt über derartige Möglichkeiten nachdenken, wenn es bessere
Varianten gibt, die nur minimalen Aufwand erfordern?

--
Gruß, Olaf
MS MVP ASP / ASP.NET



Re: Access DB schützen!

von Attila Krick » Dienstag, 7. Oktober 2003







Datenbank
im

Ihr habt ja alle recht. Der Grund ist ganz einfach. Ich lese immer überall
das man könnte, wenn wöllte :-) aber mir ist noch kein Fall zu Ohren
gekommen, daher ist die Frage grundsätzlicher Natur, will ja auch nicht hier
als Hacker auftretten aber interessant währe es schon wie groß der Aufwand
tatsächlich ist. Hinzukommt auch das es günstige Provider gibt (Ja, Ja ich
weiß) so ein Luxus wie DSN oder Verzeichnis auserhalb der Web-Root anbieten.
Mal davon abgesehn, dass ich kein Http-ButalForce/ Dictory-Tool bis jetzt
gesehen habe ist meiner Meinung nach de Wahrscheinlichkeit das einer auf den
DB-Namen kommt gleich null.






Re: Access DB schützen!

von Olaf Lüder [MVP] » Dienstag, 7. Oktober 2003



Hallo Attila,




Sofern der Name nicht in Wortlisten (Dictionary-Attacke, vgl. Stefan's
Posting) auftaucht und entsprechend lang ist, ist es (abgesehen von in
Dateinamen nicht zulässigen Sonderzeichen) im Prinzip relativ sicher, in
etwa genauso sicher oder unsicher wie eine
Benutzername/-paßwort-Kombination gleicher Länge.

Aus den schon genannten Gründen würde ich aber zu einer der vorhandenen
Alternativen greifen; schützen ist sicherer als verstecken ;-)

--
Gruß, Olaf
MS MVP ASP / ASP.NET



Re: Access DB schützen!

von Uwe Janssen » Dienstag, 7. Oktober 2003






Hallo Attila,
um dieses zu vermeiden stellt man den Ordner in der die Datenbank
liegt, rein auf Zugriff für Skripte, dem IUSR lässt man keinen
Schreib- und Lesezugriff. schon ist das Problem beseitigt. Deshalb
haben wir den vordefinierten Ordner Datenbanken , der hat diese
Rechte.

Grüsse Uwe Janssen



Re: Access DB schützen!

von Olaf Lüder [MVP] » Dienstag, 7. Oktober 2003



Hallo Uwe,




Du meinst sicher das richtige...; das Internetgastkonto (IUSR_XXX)
benötigt allerdings sehr wohl Ändern-Rechte für das DB-Verzeichnis
(sofern anonyme Zugriffe die DB verwenden); dem IIS müssen die
entsprechenden Rechte für das Verzeichnis entzogen werden (dies hat aber
nichts mit irgendwelchen NFTS- oder Benutzerrechten zu tun).

--
Gruß, Olaf
MS MVP ASP / ASP.NET



Re: Access DB schützen!

von Uwe Janssen » Dienstag, 7. Oktober 2003








Habe ich mich wohl schlecht ausgedrückt , Natürlich meine ich die
Einstellung im IIS.
Attila hat aber meine Telefonnummer und kann sich gerne melden , dann
werde ich es mit Ihm gerne durchgehen :-)))

Grüsse Uwe Janssen



Re: Access DB schützen!

von Michael Roth » Dienstag, 7. Oktober 2003



Wenn Jemand von sowas richtig Ahnung hat dann hilft dir nicht wenn die Datei
ausserhalb des Web Roots liegt..
Irgendwo hast du immer ein Sicherheitsloch..

gruss
Michael Roth :)





Datenbank
im
Dictionary
zwar,





Re: Access DB schützen!

von Olaf Lüder [MVP] » Dienstag, 7. Oktober 2003



Hallo Michael,




Das möchte ich so nicht bestätigen...; aber selbst wenn, wäre das kein
Grund, bewußt zusätzliche Risiken einzugehen.

--
Gruß, Olaf
MS MVP ASP / ASP.NET



Re: Access DB schützen!

von Michael Roth » Dienstag, 7. Oktober 2003



wie wärs wenn du die datenbank mit der endung .asp speicherst ? :)




da





If you have any questions, you can contact us: admin#mofeel.net     Spam Report