08. oktober 2007 - 12:17Der er
3 kommentarer og 1 løsning
Placering af filer på server for høj sikkerhed
Hej eksperter
Jeg kører hele min hjemmeside i asp og bruger en mysql-database. Pt. ligger alle filer, inklusiv en include-fil med databaseoplysninger, i roden, altså i www-mappen. Den anden dag fik jeg en noget uforståelig forklaring af, hvorfor det umiddelbart ikke er sikkert. Kan en hacker ud fra min konstruktion se alle filer og dermed se brugernavn og password til databasen?
På mit webhotel findes en "database" base, som umiddelbart ikke skulle kunne tilgåes via en browser - ligger på samme "niveau" som "www"-mappen. Hvis jeg nu i stedet ligger include-filen med databaseoplysninger i denne mappe, og lader alle andre sider inkludere denne fil. Vil det løse sikkerheden i forhold til, at en hacker ikke får adgang til brugernavn og password til databasen?
Hvis de ligger i rod biblioteket er de jo umiddelbart tilgængelige fra internettet, hvis jeg kender deres navne kan jeg tilgå dem. Ved at flytte dem til en mappe, hvor browseren ikke har rettigheder til at åbne dem, er de længere ude i rækkevide end hvis de er placeret i www roden.
Hvordan dine passwords og brugernavne er tilgængelige kan jeg ikke sige noget fornuftigt om uden at kende dine forhold præcist, men hvis f.eks. din database fil ligger i web roden, så kan dej vel downloades direkte hvis man ved hvad den hedder og hvis du "opbevare" disse oplysninger i databasen kan de vel hentes ud. Dine password og brugernavnes usikkerhed afhænger stærkt af dem løsning du har valgt.
Håber det var svar på noget af det ellers uddyb dit spørgsmål lidt
Jeg er nu helt med på den store usikkerhed ved de filer, som er placeret i roden, altså i www. Er stadig lidt i tvivl om sikkerheden af følgende:
Rigtig mange sider i "www" mappen bruger oplysninger fra mysql-databasen. Det betyder, at alle disse sider har inkluderet forbindelse.asp, som har indholdet;
Indtil videre har forbindelse.asp ligget i "www" mappen, hvilket jeg kan forstå er meget risikabelt. Mit spørgsmå er nu, om jeg "blot" kan flytte filen (og selvfølgelig ændre include-filen på alle sider) til mappen "database" (alm. mappe på niveau med "www"), som netop ligger længere ude i rækken og skulle iflg. vores webudbyder ikke kunne tilgåes fra en browser. Kan en "hacker" komme til at se indholdet af forbindelse.asp og dermed logge ind i databasen via php-admin?
Jeg ser det ligeså. om du kan få det til at virke ordentligt ville jeg lade komme an på en prøve.
En hacker vil stadig kunne komme til at se din forbindelsesfil hvis der er et hul eller en sårbarhed i serversystemet eller i din web løsning, men som jeg ser det har du gjort det svære, da det nu ikke blot er et spørgsmål om at gætte et fil navn
Det virker faktisk helt fint. Vil en hacker ind på systemet, skal de jo nok komme det, men det gælder da om at få sorteret fritids-hackerne fra :-)
Tusind takl for hjælpen.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
