Naja... in das Thema passt auch das, was ich nun sch�n �ftern gesehen habe.
1 mal sogar auch beim VBS (Bundesamt f�r Verteidigung, Bev�lkerung und
Sport). DA ist sogar der Schweizer Geheimdienst (das gibt's sogar laut
Medien untergeordnet)
Haben ne ASP Page, welche die Daten vom SQLServer holt.
Der SQL geht dummerweise down, und was passiert?
Es kommt ne Meldung, in dem und dem Include sei ein Fehler aufgetreten.
-> Nat�rlich heisst das Include .Inc oder so; kann also heruntergeladen
werden...
Was ist wohl im Include? 1 ConnectionString mit SQLServer, DB, User und
Passwort.
Zum gl�ck war das VBS so schlau, und hat den SQL Server nicht �ffentlich
verf�gbar gemacht (in ne DMZ gestellt...)
Habe das selbe aber auch schon bei einer weniger wichtigen Page gesehen.
Das OpenAir von St. Gallen hatte ne sch�ne Page mit auch dem Problem. Da kam
man problemlos per WWW auf den SQL Server.
Was lehrt man?
- SQL Server nicht �ffentlich verf�gbar
- ConnectionStrings in ASP sind zu sch�tzen
- Fehlerbehandlung, dass der ConnectionString / das IncludeFile
sicher nie zum Client gesendet wird
- Include Files heissen nicht *.inc sonder *.asp und sind wenn
m�glich in einem f�r den WWWUser unzugreiffbaren Dir
Manchmal kann man gewisse SysAdmin's schon henken.
(Darf nicht zu laut sein, wir hatten bei uns auch mal nen SQL Server mit
"sa" und "";-)) )
Gruss
Christian
> -----Original Message-----
> From: Joachim van de Bruck [mailto:[EMAIL PROTECTED]]
> Sent: Dienstag, 21. Mai 2002 14:15
> To: ASP Datenbankprogrammierung
> Subject: [aspdedatabase] AW: Was ist davon zu halten?
>
>
> Hallo!
>
> > Seit heute morgen hat TREND MICRO eine Vielzahl von Versuchen
> > festgestellt, eine
> > Verbindung auf Port 1433 (SQL Port) herzustellen.
>
> Wer die Haust�r sperrangelweit offen l�sst, sollte sich nicht wundern,
> wenn ungebetene G�ste einfach so hineinspazieren...
>
> Seit SQL Server 2000 motzt das Installationsprogramm, wenn
> man den "sa"
> ohne Passwort l�sst, ist also auch f�r Hobby-Administratoren geeignet.
>
> Oder wolltest Du eine Meinung zu den &%?-xm�2 Hackern? Oder zu Trend
> Micro?
>
> Freundliche Gr��e
> Joachim van de Bruck
>
>
>
> | [aspdedatabase] als [EMAIL PROTECTED] subscribed
> | http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv
> | Sie k�nnen sich unter folgender URL an- und abmelden:
> | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp
>
| [aspdedatabase] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp
