Jump to content
Sign in to follow this  
Christian81

ODBC-Passwörter als Klartext in Registry

Recommended Posts

Hallo,

 

mit Erschrecken musste ich heute nach einem Ausflug durch die Registry feststellen, das Passwörter für Datenbanken, die über ODBC-Verbindungen angesprochen werden, im Klartext dort abgelegt sind.

 

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-Verbindungsname]

 

Gibt es eine Möglichkeit, dieses Verhalten zu ändern?

 

Mfg, Christian

Share this post


Link to post

Ich fürchte nein - was im Klartext drinsteht, bleibt drin.

 

Ich habe alle drei Varianten beobachtet: Das Passwort wird niemals abgelegt und muß zusätzlich im ConnectionString angegeben werden, es wird im Klartext abgelegt oder es wird verschlüsselt abgelegt.

 

Wenn Du das verwendende Programm selbst abändern kannst, läßt sich evtl. lösen: Beim ODBC-Setup kein Passwort angeben und den ConnectionString bsp. in der Art

 

"DSN=myDatabase;PWD=topsecret;"

 

formulieren.

 

-------------

Gruß, Auer

Share this post


Link to post

Hallo Auer,

 

erstmal Danke für deine Antwort.

 

Das Szenario sieht wie folgt aus. Auf einem Server eines Kunden sind ODBC-Verbindungen eingerichtet. Auf demselben Server laufen Programme (Coldfusion, Autodesk MapGuide Server), die auf diese ODBC-Verbindungen intern zurückgreifen. Daher kann ich leider nix am Connection-String ändern.

 

Da die ODBC-Verbindungen auf unsere Datenbanken verweisen, die beim Kunden installiert sind, ist nun die Angst groß, das sich dort jemand an denselben vergreift.

 

Scheint, als wären wir in den Hintern gekniffen...

 

Gruß, Christian

Share this post


Link to post

Das heißt: Wer dort auf die Programme 'Coldfusion, Autodesk MapGuide Server' zugreift, wird wahrscheinlich über Features dieser Programme die Daten ändern können. Wer dort so an den Server herankommt, daß er ein selbstgeschriebenes dreizeiliges VBScript ausführen kann, darf all das machen, was die Stärke der Verbindung zuläßt.

 

Da wurde bei der Architektur von einer völligen Vertrauensstellung der Clients ausgegangen oder es wurde dieses Problem bei der Entwicklung einfach in keinster Weise beachtet.

 

-------------

Gruß, Auer

Share this post


Link to post

Die Clients haben sicherheitstechnisch keinerlei Möglichkeit, an die Registry des Servers und somit an die Passwörter der Datenbanken zu kommen.

 

Was uns Kopfschmerzen bereitet ist viel mehr das extrem gespannte Vertrauensverhältnis unserer Firma gegenüber dem Netzadministrator des Kunden. Dieser hat zwar die Weissheit nicht mt Löffeln gefressen, sollte aber in der Lage sein, in unseren Datenbanken herumzupfuschen um unser Ansehen im dortigen Hause zu schädigen.

 

Aber du hast schon recht, dieses Problem haben wir tatsächlich nicht bedacht. Zum damaligen Zeitpunkt fehlte uns einfach das entsprechende Hintergrundwissen.

 

Wir werden nun versuchen, die Datenbanken direkt über die Programme ohne ODBC-Treiber anzusprechen.

 

Gruß, Christian

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...