Avatar billede ibleif Nybegynder
29. august 2003 - 14:58 Der er 19 kommentarer og
3 løsninger

Sikkerhed ved flere websites.

Hvordan skal en webserver sættes op, så de forskellige hjemmesider ikke kan få adgang til hinandens data. F.eks. igennem FSO.

Et eksemplel kan være, at der findes 2 websites:
d:\webs\anders\www
d:\webs\peters\www

Det website som anders har, kan så via kode læse filer i "peter"´s område, da de jo begge har adgang via den bruger i NT der står for webadgang. Der skal stadig være offentlig adgang til siderne, da alle deres besøgende jo ikke skal spørges om password eller lign.
Avatar billede nmh Nybegynder
29. august 2003 - 15:03 #1
Adgang til hinandens data?
Du har vel ikke noget imod, at de kan se hinandens data (de er jo publiceret på nettet alligevel), men kun hvis de også kan rette i disse data?
Du kan vel klare dette problem med ntfs-rettigheder.
Avatar billede erikjacobsen Ekspert
29. august 2003 - 15:05 #2
Adgang til data kan være adgang til filer med passwords til databaser, som
så efterfølgende kan ændres i.
Avatar billede ibleif Nybegynder
29. august 2003 - 15:07 #4
F.eks. har de begge en mySQL database, og hvis de nu vælger at lave deres connection-strings igennem en global.asa fil. Så kan den anden part jo se deres login/pass/database der - og misbruge det.

nmh: At klare dette problem med NT rettigheder.. måske, men jeg aner bare ikke hvordan.
Avatar billede ibleif Nybegynder
29. august 2003 - 15:21 #5
hoejrup: Jeg har nu prøvet at læse lidt på det link, men kan ikke rigtigt se svaret der. Måske du kan fortælle hvad jeg overser?
Avatar billede -mundi- Nybegynder
29. august 2003 - 15:27 #6
d:\webs\anders\www
d:\webs\peters\www

hvis du kun giver iusr rettigheder via det ntfs filsikkerhedssystemet til "www" mapperne har man jo ikke mulighed for at gå ind i "anders" eller "peters" mappen og man kan derfor ikke skifte bibliotek
Avatar billede ibleif Nybegynder
29. august 2003 - 15:30 #7
mundi: Se det sådan her.. hvis den samme IUSR (Den offentlige bruger til websider) har adgang til begge www-mapper, som jo er nødvendigt for at begge sider kan ses fra internettet. Så kan Anders jo bare skrive stien til Peter´s www bibliotek i hans asp-kode, og så tilgå filer der som ikke er hans.

Kan du følge problemstillingen ?
Avatar billede nmh Nybegynder
29. august 2003 - 15:30 #8
Hverken Andres eller Peter behøver vel at få at vide den præcise fil-struktur på d-drevet.
Avatar billede nmh Nybegynder
29. august 2003 - 15:32 #9
Det er vel nok for dem at kende navnet på deres virtuelle katalog.
Avatar billede ibleif Nybegynder
29. august 2003 - 15:34 #10
Den er lidt svær at holde hemmelig? ... Man kan vel se den fysiske placering igennem asp-kode (så vidt jeg husker)

Og da jeg har tænkt mig at fjerne muligheden for parent-directory-browsing, så er det nødvendigt med en mere direkte sti til deres "database" mappe, som jeg havde tænkt mig at lægge ved siden af www mappen.
Avatar billede -mundi- Nybegynder
29. august 2003 - 15:36 #11
det er jo ikke så svært at lave en server.mappath og så få det fysiske sti ...
ibleif har du prøvet at lave et script der tilgår en anden mappe ?
Avatar billede ibleif Nybegynder
29. august 2003 - 15:39 #12
Ja, det har jeg. Og jeg kan fra "anders" læse f.eks. en global.asa fil på "peter".

Det er faktisk så nemt som: FSO.OpenTextFile() og så bare read-all :-(
Avatar billede nielsmo Nybegynder
29. august 2003 - 15:47 #13
det du kan gøre er jo bare at smide en række af tilfældige tal bagefter mappenavnet, så kan de jo ikke vide hvad den andens mappe hedder...

ved cliche bruger det...
Avatar billede ibleif Nybegynder
29. august 2003 - 15:50 #14
nielsmo: Ok - det var så følgelig en mulighed. Det lyder bare for mig mere som en workaround end en løsning! :D

Jeg vil gerne høre fra andre, som evt. kan hjælp?
Avatar billede nmh Nybegynder
29. august 2003 - 15:56 #15
da jeg sagde, de ikke behøvede at kende hele filstrukturen, mente jeg netop, at de jo ikke kan læse i hinandens kataloger, hvis de ikke kender katalognavnene, og det da er muligt at forhindre, at et fso-objekt kan læse hele filstrukturen.
Avatar billede ibleif Nybegynder
29. august 2003 - 16:01 #16
nmh: Jaja.. det ved jeg godt. Min pointe er den samme her som til dig. Du må undskylde hvis det lyder somom, at nielsmo finder på noget nyt her i spørgsmålet. Jeg ved godt at du har foreslået det samme.

Syntes bare stadig ikke det er den bedste løsning, og det kan simpelthen ikke være rigtigt, at det ikke kan løses på en sikkerhedsmæssigt bedre måde.
Avatar billede nielsmo Nybegynder
29. august 2003 - 16:26 #17
har du overvejet at maile til f.eks. cliche, eller en anden hosting udbyder, og høre om de lige hurtigt vil hjælpe dig - gratis... Der må være nogle der gerne vil hjælpe dig...

nmh -> havde ikke lige læst dit, men det er jo det samme, min fejl ;)
Avatar billede ibleif Nybegynder
29. august 2003 - 17:19 #18
På dette link (  ) fandt jeg følgende "løsning":

Joel Maslak <jmaslak@WIND-RIVER.COM> suggests Applying appropriate NTFS permissions to limit the access to given to the IUSR_machinename account. For multiple virtual web servers, run each virtual server under a different user account.

Russ Cooper <Russ.Cooper@RC.ON.CA> recommends disabling the "Allow Parent Paths" option via Internet Services Manager.

----------------
Så mangler jeg bare at fatte hvad de mener med "run each virtual server under a different user account" ... Nogen der kan forklare dette?
Avatar billede jma001 Nybegynder
29. august 2003 - 17:39 #19
Her er et godt link som beskriver sikkerheds issues når man kører flere sites på en IIS: http://members.fortunecity.com/digispy/C5/P74/
Avatar billede ibleif Nybegynder
29. august 2003 - 20:55 #20
Jeg fandt en løsning via jma001´s link - så flest point til ham. I andre skal dog have for at forsøge! :-)
Avatar billede nmh Nybegynder
29. august 2003 - 21:07 #21
Jeg håber du vil skrive lidt løsningen her. Jeg har prøvet at lave nogle forsøg, og har ikke fundet noget tilfredsstillende endnu.
Avatar billede -mundi- Nybegynder
01. september 2003 - 11:33 #22
Ja ud med sproget :-) Post lige hvad du endte med at gøre
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester



IT-JOB

Netcompany A/S

Software Developer

TOPdesk Danmark A/S

Support Specialist

Cognizant Technology Solutions Denmark ApS

Kinaxis Solution Architect