29. august 2003 - 14:58Der er
19 kommentarer og 3 løsninger
Sikkerhed ved flere websites.
Hvordan skal en webserver sættes op, så de forskellige hjemmesider ikke kan få adgang til hinandens data. F.eks. igennem FSO.
Et eksemplel kan være, at der findes 2 websites: d:\webs\anders\www d:\webs\peters\www
Det website som anders har, kan så via kode læse filer i "peter"´s område, da de jo begge har adgang via den bruger i NT der står for webadgang. Der skal stadig være offentlig adgang til siderne, da alle deres besøgende jo ikke skal spørges om password eller lign.
Adgang til hinandens data? Du har vel ikke noget imod, at de kan se hinandens data (de er jo publiceret på nettet alligevel), men kun hvis de også kan rette i disse data? Du kan vel klare dette problem med ntfs-rettigheder.
F.eks. har de begge en mySQL database, og hvis de nu vælger at lave deres connection-strings igennem en global.asa fil. Så kan den anden part jo se deres login/pass/database der - og misbruge det.
nmh: At klare dette problem med NT rettigheder.. måske, men jeg aner bare ikke hvordan.
hvis du kun giver iusr rettigheder via det ntfs filsikkerhedssystemet til "www" mapperne har man jo ikke mulighed for at gå ind i "anders" eller "peters" mappen og man kan derfor ikke skifte bibliotek
mundi: Se det sådan her.. hvis den samme IUSR (Den offentlige bruger til websider) har adgang til begge www-mapper, som jo er nødvendigt for at begge sider kan ses fra internettet. Så kan Anders jo bare skrive stien til Peter´s www bibliotek i hans asp-kode, og så tilgå filer der som ikke er hans.
Den er lidt svær at holde hemmelig? ... Man kan vel se den fysiske placering igennem asp-kode (så vidt jeg husker)
Og da jeg har tænkt mig at fjerne muligheden for parent-directory-browsing, så er det nødvendigt med en mere direkte sti til deres "database" mappe, som jeg havde tænkt mig at lægge ved siden af www mappen.
da jeg sagde, de ikke behøvede at kende hele filstrukturen, mente jeg netop, at de jo ikke kan læse i hinandens kataloger, hvis de ikke kender katalognavnene, og det da er muligt at forhindre, at et fso-objekt kan læse hele filstrukturen.
nmh: Jaja.. det ved jeg godt. Min pointe er den samme her som til dig. Du må undskylde hvis det lyder somom, at nielsmo finder på noget nyt her i spørgsmålet. Jeg ved godt at du har foreslået det samme.
Syntes bare stadig ikke det er den bedste løsning, og det kan simpelthen ikke være rigtigt, at det ikke kan løses på en sikkerhedsmæssigt bedre måde.
har du overvejet at maile til f.eks. cliche, eller en anden hosting udbyder, og høre om de lige hurtigt vil hjælpe dig - gratis... Der må være nogle der gerne vil hjælpe dig...
nmh -> havde ikke lige læst dit, men det er jo det samme, min fejl ;)
Joel Maslak <jmaslak@WIND-RIVER.COM> suggests Applying appropriate NTFS permissions to limit the access to given to the IUSR_machinename account. For multiple virtual web servers, run each virtual server under a different user account.
Russ Cooper <Russ.Cooper@RC.ON.CA> recommends disabling the "Allow Parent Paths" option via Internet Services Manager.
---------------- Så mangler jeg bare at fatte hvad de mener med "run each virtual server under a different user account" ... Nogen der kan forklare dette?
Ja ud med sproget :-) Post lige hvad du endte med at gøre
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
