Jag undrar om det är en säkerhetsrisk att hämta data från en databas. Det låter kanske lite skumt, men låt säga att man har en databas som absolut inte får raderas, och denna kan man endast komma åt att redigera via en webbsida med inloggning. Om jag nu vill hämta data ur den databasen från en annan - icke lösenordskyddad - sida, blir det då en säkerhetsrisk? Jag ska inte skriva värden till den databasen från den sidan, endast hämta.

Ja det kan du, inga problem!!!111oneone

Du kan sätta att du bara får läsa från den, du går mot den med en användare, signa den som read på hela dbn.

Mvh Johan

Men den skrivs ju i från en annan sida?

Fan va populär tråd du har Jonas =)

"Men den skrivs ju i från en annan sida?"

Vad har det med read only att göra? Alltså skall vi se här om jag fattar allt rätt.

Databasen administreras på ett ställe (lokalt i intranetet???) Där är användaren troligen administratör och har fulla rättigheter.

Sedan utifrån går du in med annan användare som bara har read, på databasen, på så vis kan ingen ändra nått...

Men du har nog även fått det lite snurrigt, för du går mot en DB som du går mot vilken server som helst även om det var en vanlig domän server. Du måste logga in på den för att göra saker.

Om du ser det som en säkerhetsbrist så är hela din server farm i fara.

Kan du inte skriva lite mer vad du tror kan hända ang säkerheten som du är tveksam över?
För jag tycker det är lite vagt vad du menar.

mvh Johan

Jag ska försöka förklara det hela lite bättre:

Det jag har gjort hittills är en sida åt ett företag där de exempelvis kan - internt - rapportera arbetad tid och där de kan registrera kunder och en hel drös med andra funktioner, som håller företaget organsierat. Denna sida har inloggning med användare, där man kan ställa rättigheter för varje användare vilket gör att det inte behövs ett administratörskonto.

Det nya är att de nu vill att jag ska designa deras kundsida (alltså sidan utåt som bland annat ska locka kunder till företaget) också. Denna ska alltså ligga med ett domännamn, och inte dolt som internsidan. Detta medför genast att man måste tänka mycket mer på säkerheten, vilket inte har varit prioriterat innan. Exempelvis har jag ingen aning om vad du menar när du säger att jag ska "logga in" på databasen. Den nya sidan ska ge möjlighet för vissa kunder att se projektstatus för deras projekt, och dessa projektstatus måste hämtas från den interna databasen. Det är där jag undrar om jag öppnar en lucka för en illasinnad hacker. Det är alltså bara hämtning från den interna databasen det är frågan om.

Dessutom ska den nya sidan göras i ASP.NET, och den gamla är gjord i ASP. Inloggning på databasen kanske är något som bör implementeras på den interna sidan också nu då?

Hoppas det här klargör mitt problem lite bättre.

Så här skulle jag ha gjort:

1. Skapa en lagrad procedur som returnerar projektstatusen för kundens projekt.

2. Skapa ett nytt användarkonto i databasen. Detta konto ska endast ha behörighet att köra den nya lagrade proceduren, och ingen behörighet att läsa eller skriva till någon av tabellerna i databasen. Detta nya konto är det som ska användas av den nya ASP.NET-applikationen för att koppla upp sig mot databasen.

Denna metod bör minimera säkerhetsriskerna.

Jeinhor

Vad jag menar med logga in är när du gör en connection mot databasen, du måste då ange vem du är.
Ang säkerhet ligger det oftast inte i databasen utan i den kod du skriver. Jag antar att du arbetat mot databas förut och angivit connection sträng som är för just "logga in" mot databasen öppna en tunnel så du kan arbeta mot den. Ingen kan komma åt din databas om de inte vet dess login. En regel är att sätta lösen för SA användaren som många tyvärr sätter som tomt. SA användaren är System Admin över hela databasen, denna personen kan göra allt. Sedan är det bra om man stänger ner den port db kommunicerar vis, så att man utifrån inte kan komma åt den, utan bara innifrån, kan inte portnummret i huvudet, 1340 eller nått. Kolla med de IT-teknicker ni har.

Även om databasen är skyddad kan man via webbsidan eller webbapplikationen hacka sig in och få tag i känslig info eller utföra en hel del ottrevligheter. Därför är det viktigt att förstå hur man skyddar sig mot dessa, http://www.swesecure.com <-- här är en sida som två svenskar står bakom, där kan du hitta hyffsat med info ang just websäkerhet.

Om du inte fösrtår något av det jag nu sagt, tycker jag du skall be din arbetsgivare om att få gå några kurser innom databas, eller köpa in lite böcker.

Mvh Johan

Jag förstår det där med connectionsträng och login, men jag vet inte VAR man sätter det? Det borde väl vara i själva databasen någonstans då?

Kanske får ta och läsa in mig lite i det här :)
Tack så länge!