Sicherheit von ASP-Passwortschutz

Tach!

Da bei gewissen Hostern passwortgeschützte Verzeichnisse extra kosten, habe ich einen eigenen ASP-Passwortschutz erstellt. Der funktioniert so: auf Login-Seite einfaches Form mit User-ID und Passwort -> nach Submit wird mit … geprüft, ob Angaben richtig -> wenn ja, wird eine Sessionvariable gesetzt -> auf der zu schützenden Seite wird zuerst abgefragt, ob die Sessionvariable gesetzt wurde, ansonsten wird der Zugriff verweigert.

Nun meine Frage: Wie sicher ist ein solches System? Macht es nichts, wenn im Quellcode der Datei login.asp das geforderte Passwort steht?

Alternativ dazu könnte ich die User-IDs und zugehörigen Passwörter ja auch in eine DB schreiben (dann stehen die Angaben nicht im ASP-Code). Frage dazu: Wenn man den Namen der DB kennt, kann sie dann einfach downgeloadet werden (durch entsprechende URL-Eingabe im Browser)?

Besten Dank für allfällige Antworten!

Daniel

Hallo

Ich mache meine Sicherheitslösungen in ASP nach dem selben System, mit dem Unterschied, dass ich die Passwörter verschlüsselt in einer DB ablege. Ich habe mir ein Verschlüsselungsalgorithmus geschrieben, der unwiederherstellbare Strings generiert (ich weiss, gibt es auch gratis im Netz… )

Wenn nun der User das Passwort eingibt, verschlüssle ich es mit dem gleichen Algorithmus und prüfe, ob der String dem in der DB entspricht.

Bei Deiner DB-Frage gehe ich von MS Access aus.
Wenn Du die DB in einem Verzeichnis abgelegt hast, das via Browser angesprochen werden kann, ist das Downloaden problemlos möglich. Lege Deine DB in einem Verzeichnis ab, das nicht angesprochen werden kann (auf der gleichen physikalischen Ebene wie wwwroot), so ist sie sicher.

Das Passwort ausgeschrieben in das Script zu schreiben ist heikel, da es Möglichkeiten gibt, ASP-Scripts vom Server herunterzuladen (Sicherheitsleck). Ich würde Dir darum davon abraten.

Greetz Sherman

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]