Verstecken von Accountinformationen, DB-Connects

Computer: Software & Programmierung ASP & ASP.NET
#1

Hallo,

ich bin mir nicht sicher, wie ich eine DB-Verbindung oder ähnliche Einstellungen verstecke.
Zwar sieht der User im Quelltext keinen ASP Code, aber es gibt doch bestimmt Möglichkeiten, die ASP Seiten einzusehen,oder? zb. über Offline speichern???

Ich habe die Verbindungen global als Included File „*.inc“ eingebunden, das Dumme ist nur, im HTML Quelltext kann man den Link sehen und dann per Browsereingabe downloaden.

Wie ist das mit eingebundenen virtualFiles? Kann man die einsehen? Wenn ich virtual Files einbinde funktioniert das bei mir nicht, es gibt immer einen Fehler „…konnte File nicht finden“

THX für Antworten…

#2

Hi,

Zwar sieht der User im Quelltext keinen ASP Code, aber es gibt
doch bestimmt Möglichkeiten, die ASP Seiten einzusehen,oder?
zb. über Offline speichern???

Nein, diese Möglichkeit gibt es nicht - dafür sorgen die Sicherheitseinstellungen beim IIS - sollten sie zumindest.

Ich habe die Verbindungen global als Included File „*.inc“
eingebunden, das Dumme ist nur, im HTML Quelltext kann man den
Link sehen und dann per Browsereingabe downloaden.

In diesem Fall hast Du die Sicherheitseinstellungen geschickt selbst ausgehebelt: Der IIS weiss zwar, dass er keine .asp-Dateien unverarbeitet zum Client schicken darf, er weiss aber nicht, dass sich hinter bestimmten .inc-Dateien ebenfalls VBScript-Code „versteckt“. Für dieses Problem gibt es zwei verschiedene Lösungen: 1) Benenne die Dateien um, so dass alle auf .asp enden. 2) Stelle den IIS so ein, dass er auch .inc-Dateien als VBScript erkennt. Das kannst Du in der Microsoft Management Console erledigen, indem Du Dir die Eigenschaften des entsprechenden Include-Ordners anzeigen lässt, und dort in der Registerkarte „Directory“ die „Application Settings“ änderst: Füge .inc als neuen Typ hinzu und lasse ihn von der selben DLL verarbeiten wie die .asp-Dateien. Das sollte helfen…

Ciao, Thomas

#3

verstehe ich nicht

Ich habe die Verbindungen global als Included File „*.inc“
eingebunden, das Dumme ist nur, im HTML Quelltext kann man den
Link sehen und dann per Browsereingabe downloaden.

Von einer eingebundenen Datei der Form

kriegt doch der Browser gar nix mit…

Meine Include - Anweisungen sind im Quelltext nicht sichtbar.

Für dieses Problem gibt es zwei
verschiedene Lösungen:

Oder man verwendet die global.asa zur Definition der Verbindungen und arbeitet in den .asp - Seiten nur noch mit Variablen.

JJLehto

#4

Von einer eingebundenen Datei der Form

kriegt doch der Browser gar nix mit…

Meine Include - Anweisungen sind im Quelltext nicht sichtbar.

Hm… jetzt wo ich so darüber nachdenke: Stimmt - meine auch nicht! Nichtsdestotrotz bergen Skripte, die u.U. unverarbeitet zum Client geschickt werden, immer ein gewisses Sicherheitsrisiko - unabhängig davon, wie schwer es ist, an die URL ranzukommen. (Spätestens seit Jurassic Park wissen wir es ja: „Die Natur findet immer einen Weg!!“ ;o))

Ciao, Thomas

#5

selbstverfreilich!

Nichtsdestotrotz bergen Skripte, die u.U. unverarbeitet
zum Client geschickt werden, immer ein gewisses
Sicherheitsrisiko - unabhängig davon, wie schwer es ist, an
die URL ranzukommen.

da kann man nur zusimmen

(Spätestens seit Jurassic Park wissen wir
es ja: „Die Natur findet immer einen Weg!!“ ;o))

und der böse hacker sowieso…

gruß,
JJLehto

#6

THX an Beide…
Danke euch für die Antworten, ich probiere das mal.

Mit den Include Dateien muss ich mich vertan haben, man sieht sie tatsächlich nicht… :o)

THX…

#7

HI, übrigends würde ich Includedateien immer mit der Endung .ASP abspeichern. Denn selbst wenn man an den Namen der Include Datei kommt, kann man sie dann nicht downloaden!

Damit man dann aber die Dateien unterscheiden kann, pflege ich immer den Namen im Format INC_NAME.asp zu speichern.

Gruß
Martin