Christian81 10 Geschrieben 6. November 2003 Melden Teilen Geschrieben 6. November 2003 Hallo, mit Erschrecken musste ich heute nach einem Ausflug durch die Registry feststellen, das Passwörter für Datenbanken, die über ODBC-Verbindungen angesprochen werden, im Klartext dort abgelegt sind. [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-Verbindungsname] Gibt es eine Möglichkeit, dieses Verhalten zu ändern? Mfg, Christian Zitieren Link zu diesem Kommentar
auer 10 Geschrieben 6. November 2003 Melden Teilen Geschrieben 6. November 2003 Ich fürchte nein - was im Klartext drinsteht, bleibt drin. Ich habe alle drei Varianten beobachtet: Das Passwort wird niemals abgelegt und muß zusätzlich im ConnectionString angegeben werden, es wird im Klartext abgelegt oder es wird verschlüsselt abgelegt. Wenn Du das verwendende Programm selbst abändern kannst, läßt sich evtl. lösen: Beim ODBC-Setup kein Passwort angeben und den ConnectionString bsp. in der Art "DSN=myDatabase;PWD=topsecret;" formulieren. ------------- Gruß, Auer Zitieren Link zu diesem Kommentar
Christian81 10 Geschrieben 6. November 2003 Autor Melden Teilen Geschrieben 6. November 2003 Hallo Auer, erstmal Danke für deine Antwort. Das Szenario sieht wie folgt aus. Auf einem Server eines Kunden sind ODBC-Verbindungen eingerichtet. Auf demselben Server laufen Programme (Coldfusion, Autodesk MapGuide Server), die auf diese ODBC-Verbindungen intern zurückgreifen. Daher kann ich leider nix am Connection-String ändern. Da die ODBC-Verbindungen auf unsere Datenbanken verweisen, die beim Kunden installiert sind, ist nun die Angst groß, das sich dort jemand an denselben vergreift. Scheint, als wären wir in den Hintern gekniffen... Gruß, Christian Zitieren Link zu diesem Kommentar
auer 10 Geschrieben 6. November 2003 Melden Teilen Geschrieben 6. November 2003 Das heißt: Wer dort auf die Programme 'Coldfusion, Autodesk MapGuide Server' zugreift, wird wahrscheinlich über Features dieser Programme die Daten ändern können. Wer dort so an den Server herankommt, daß er ein selbstgeschriebenes dreizeiliges VBScript ausführen kann, darf all das machen, was die Stärke der Verbindung zuläßt. Da wurde bei der Architektur von einer völligen Vertrauensstellung der Clients ausgegangen oder es wurde dieses Problem bei der Entwicklung einfach in keinster Weise beachtet. ------------- Gruß, Auer Zitieren Link zu diesem Kommentar
Christian81 10 Geschrieben 6. November 2003 Autor Melden Teilen Geschrieben 6. November 2003 Die Clients haben sicherheitstechnisch keinerlei Möglichkeit, an die Registry des Servers und somit an die Passwörter der Datenbanken zu kommen. Was uns Kopfschmerzen bereitet ist viel mehr das extrem gespannte Vertrauensverhältnis unserer Firma gegenüber dem Netzadministrator des Kunden. Dieser hat zwar die Weissheit nicht mt Löffeln gefressen, sollte aber in der Lage sein, in unseren Datenbanken herumzupfuschen um unser Ansehen im dortigen Hause zu schädigen. Aber du hast schon recht, dieses Problem haben wir tatsächlich nicht bedacht. Zum damaligen Zeitpunkt fehlte uns einfach das entsprechende Hintergrundwissen. Wir werden nun versuchen, die Datenbanken direkt über die Programme ohne ODBC-Treiber anzusprechen. Gruß, Christian Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.