Date: Sat, 23 Mar 2002 00:19:31 +0900
From: "Akira Horikawa" <who@example.ne.jp>
堀川です、今晩は
-----Original Message-----
From: Tadashi Nakamura [mailto:who@example.com]
Sent: Friday, March 22, 2002 7:31 PM
To: ML MSDE beg
Subject: [ml-msde-beg:00167] Everyon Full Controle の件
>まさにこういう初歩的な質問を堂々とできるところが
>この ML のありがたいところです。
『よろず相談所』ではありませんので、議論するための下準備
は必要だと思って下さい
>MSDE への接続を、ASP によって提供しています。
よくある事例だと思います
私もSQLServerで納品したことも多いです
>それらの ASP ファイルは、例によって
>c:\inetpub\wwwroot 以下に配置されています。
>そして、この Folder は Everyone Full Controle です。
Full にしなくても、読み取り権限があれば良いです
>当然、Local Logon する Users からは丸見えです。
そうですね
困ります
>ASP ファイルの中に記述された MSDE への
>Username や Password も、しかり、、、
ASPの中に、重要な情報を書くのはよくありません
ASPのプログラムは、最悪見られてもしょうがないと認識した上で
プログラムを設計しましょう
以前にもセキュリティホールによってASPのソースが丸見えという
事件もありました。
>この対策なのですが、Folder の Security 設定で
>Everyone を削除
>IUSER_MYPC を追加(読み取り、実行、一覧を可)
>というような設定で、よいのでしょうか。
実際に試されたのでしょうか?
Webからの閲覧に支障が無ければ、それが解決方法となるでしょう
でもIISのログイン(IUSR_***)を使うことによって、データベース
サーバーのログインは、誰がログインしてもみんな同じになりませんか?
それでも不都合が出なければ、それが一番簡単な解決方法
となります
しかしやはり、ログイン名とパスワードは、クライアントから
与えるべきだと思います
サーバー上に、クリアテキストで置くのはよくないです
当然のこととして、HTTPではなく、HTTPSを使って下さい
HTTPはパスワードが丸見えで送信されます
またログイン名とパスワードをクッキーに入れるようなことは
しないで下さい
どうしても入れるのであれば、暗号化は必須です
------------------------------------
(株)日本技術ソフト開発
堀川 明 (Akira Horikawa)
03月23日(土曜日) 00時17分記
mailto:who@example.ne.jp
http://www.horikawa.ne.jp/msde/
| [MSDE/SQLServerに関して、今、どんなことにお困りですか?] |
| よろしければお困りの内容を、電子メールで教えて下さい。 |
|
質問を電子メールで作成する
|
[ウィンドを閉じる][MSDE/SQLServer FAQ ][MSDE / MSDE2000 技術サポート情報一覧]
|
