אבטחת מידע

[Uteam]

אבטחת מידע

שלום רב, אני בונה מערכת לניהול משאבי אנוש. המערכת צריכה להתעדכן ממספר מקומות ברחבי הארץ אונליין לכן הדרך היחידה לעשות את זה הינה באמצעות האינטרנט (בהתחשב ביחס לעלות תועלת של הקמת רשת פנימית). המערכת מבוססת ASP ועל מסד הנתונים של אקסס. דרכי האבטחה שאני הולך לנקוט במערכת: 1. סיסמא לספרייה שבה נמצאים כל קבצי ה-ASP של המערכת. 2. סיסמא לעמוד הכניסה של המערכת (סיסמת ASP) וכאשר הסיסמא נכונה אני מגדיר את המשתמש בתוך ה-SESSION הרשאה כניסה לכל שאר דפי ה-ASP בספרייה, יוגדר בגלובל אסא - הבנתי שזה בטוח יותר? 3. כמובן שיהיה פיירוול וכל שאר הפיצ´רים שחברון לאכסון אתרים נותנות (נטויז´ן). 4. הבנתי שמסד נתונים של SQL מאובטח יותר במה זה מתבטא? 5. האם קיימים עוד דרכים לאבטח מסד נתונים ודפי ASP? 6. מה זה RPC ו-Named Pipes? מסד הנתונים של החברה כולל משכורות ופרטים אישיים (מידע מאוד חסוי), הייתי מעוניין לדעת האם זה נשמע "הגיוני" לשים מידע כזה באינטרנט (בהתחשב שקיימת רמת אבטחה גבוהה). המון המון תודה! איתן~

 

[eli_leiba]

דרכי אבטחה

אתה יכול ליצור אובייקט com שיכיל את ה connection string להתחברות ולקמפל אותו בנפרד ב asp רק תיצור מופע של האובייקט ותריץ את פונקציית החיבור כך המשתמש והסיסמא בלתי נראים בקוד חוץ מזה יש ב sql server אפשרות לבצע encoding של פרטי משתמש - קרא על encrypt NamePipe זה פרוטוקול תקשורת להתחברות , באינטרנט עובדים עם tcp/ip rpc הכוונה להרצת stored procedure ןזה בין השאר גם דרך לאבטחת מידע נותנים למשתמש הרשאת ריתה על הפרוצדורה וחוץ ממה שהפרוצדורה עושה הוא לא יכול לעשות דבר

 

[antidot]

תסלחו לי שאני מתפרץ

בהרבה מקרים RPC בלתי אפשרי בגלל הגדרות FIREWALL, כיוון שהקצאת פורטים לRPC היא דינמית ומי שמגדיר את הFIREWALL לא רוצה להשאיר את כל הפורטים הגבוהים פתוחים. בגלל זה בהרבה מקרים משתמשים בNAMED PIPES ואז ניתן לנחש או לאתר את הפורטים של SQL (ההקצאה במקרה זה היא סטטית) ולנסות "לגנוב" את הSESSION של מישהו אחר. אני מצטער מראש על כך שבלבלתי את UTEAM. אין צורך במקרה שלו להתחשב בזה כיוון שהCLIENT לא מדבר ישירות עם הבסיס נתונים אלא עם הקומפוננטות של ASP מדברות עם הDB. Antid0t