Re: passwortschutz, zugriffsrechte und datensicherheit - baseportal Forum - Web-Anwendungen einfach, schnell, leistungsfähig!
baseportal
English - Deutsch "Es gibt keine dummen Fragen - jeder hat einmal angefangen"

 baseportal-ForumDie aktuellsten 10, 30, 50, 100 Einträge anzeigen.  

 
 Ausgewählter Eintrag: Zur Liste 
    Beitrag von hempelr (1976 Beiträge) am Donnerstag, 18.Dezember.2003, 20:23.
    Re: passwortschutz, zugriffsrechte und datensicherheit

      Hallo, Claus,
      ich glaube, du hast da ein paar Dinge nicht richtig verstanden.
      Also - zu deinem 1. Punkt - die Befürchtung ist nur teilweise berechtigt, mit einem selbst erstellten Template aus nem anderen Account auf eine Datenbank aus nem anderen Account zugreifen geht schon mal nicht.... kanns ja mal testen, hier die Adresse zum Template - wenn du nen neuen Datensatz reingehackt hast, werd ichs ja sehen....:
      http://baseportal.de/cgi-bin/baseportal.pl?htx=/hempelr/temp/nutzereintrag
      Aller Quelltext ist offen, also schau mal..;-)

      Prinzipell ist es natürlich möglich, die "edinfache" Version der Nutzerkontrolle mit Zugangspasswort zu hacken, man muss nur den im Klartext per URL übergebenen Wert für Passwort und Nutzername nehmen und kann dann mit ner entsprechend gebauten URL auf die DB zugreifen.
      Wenn du eine richtige Nutzerkontrolle haben willst, musst du die selbst in Perl machen mit Session-ID oder irgendeiner anderen Art der doppelten Zugriffskontrolle - auch da gibts Beispiele in der BIB - u.a. ein sehr gutes von Marco Bösch glaub ich wars.
      Eine Nutzerkontrolle mit gestaffelten DB-Rechten und verschiedenen Nutzergruppen (man kann auch Rollen dazu sagen) kannst du dir von der Anmeldeprozedur her unter http://kombisy.de/baseportal/vkal/admin anschaun, die ist m.E. ziemlich hacksicher - Zugang mit superman - allesdarf
       Das ist  aber die Endvariante mit datenbanbezogenen gestaffelten Rechten der Stufen 1-nur Ansehn; 2-nur eigene Datensätze bearbeiten 3-alle Datensätze bearbeiten und der Rollenverteilung 1-Interne Nutzergruppe (darf nur einer geschl. internen Nutzergruppe zugänglich gemachte Datensätze der entsprechend zugewiesenen Datenbank(en) ansehn und seinen eigenen Nutzerdatensatz ändern, da aber nicht die Datenbankrechte) 2-Mitarbeiter (darf alles das was mit speziellen Rechte der Rechtestufen für die DB erlaubt ist außer Datensätze löschen sowie grundsätzlich immer seinen eigenen Nutzerdatensatz bearbeiten ausser den Datenbankrechten) und 3-Administratoren (dürfen immer alles auf alle Datenbanken ausser Passworte der Nutzer in der Nutzerdatenbank ändern; Administratoren sind die einzigen, die zum Löschen von Datensätzen berechtigt sind und auch die einzigen, die die Datenbankrechte an die Nutzer vergeben dürfen) ist so komplex, dass es noch etwas dauert, eh ich die so angepasst habe, dass sie als Beispielanwendung nutzbar ist.
      
      Also, gern auch per Mail, wenn du mehr wissen willst.....
      Ruben


    Antworten

 Alle Einträge zum Thema: Zur Liste 
    Beitrag von Claus (4645 Beiträge) am Donnerstag, 18.Dezember.2003, 17:09.
    passwortschutz, zugriffsrechte und datensicherheit

      Hallo bp-experten,

      Habe zum passwortschutz noch ein paar Fragen. Leider hat Christoph B. nach der sehr guten Beantwortung meiner Frage "zwei DB's mit unterschiedlichen Rechten" http://baseportal.de/baseportal/baseportal/forum&wcheck=1&range=150,150&Pos=9074
      nicht nochmal reingeschaut. Prinzip passwortschutz aus der bib relativ logisch, aber so wie es aussieht, müsste ich dann in der eigentlichen DB(nicht die nutzer-db) die Rechte auf ändern/löschen und schreiben für ALLE freischalten. Da sich dieses dann generell auf die DB bezieht, könnten dann 1. andere user(Rechte=sollen nur lesen dürfen) unter dem Quelltext die Pfadangabe einsehen und von einem selbst erstellten template auf meine DB zugreifen und in den Datensätzen herummurksen oder nicht?
      2. Im bib-text(nutzer-db) sind Felder für Rechtevergabe(lesen, schreiben, ändern), gekoppelt mit dem passwort vorgesehen (stand 2000), aber sind diese auch schon verwirklicht?
      Ich hoffe, ich habe mich jetzt nicht zu kompliziert ausgedrückt und würde mich über eine Antwort freuen.

      Vielen Dank im voraus
      Claus

     Antworten

    Beitrag von hempelr (1976 Beiträge) am Donnerstag, 18.Dezember.2003, 20:23.
    Re: passwortschutz, zugriffsrechte und datensicherheit

      Hallo, Claus,
      ich glaube, du hast da ein paar Dinge nicht richtig verstanden.
      Also - zu deinem 1. Punkt - die Befürchtung ist nur teilweise berechtigt, mit einem selbst erstellten Template aus nem anderen Account auf eine Datenbank aus nem anderen Account zugreifen geht schon mal nicht.... kanns ja mal testen, hier die Adresse zum Template - wenn du nen neuen Datensatz reingehackt hast, werd ichs ja sehen....:
      http://baseportal.de/cgi-bin/baseportal.pl?htx=/hempelr/temp/nutzereintrag
      Aller Quelltext ist offen, also schau mal..;-)

      Prinzipell ist es natürlich möglich, die "edinfache" Version der Nutzerkontrolle mit Zugangspasswort zu hacken, man muss nur den im Klartext per URL übergebenen Wert für Passwort und Nutzername nehmen und kann dann mit ner entsprechend gebauten URL auf die DB zugreifen.
      Wenn du eine richtige Nutzerkontrolle haben willst, musst du die selbst in Perl machen mit Session-ID oder irgendeiner anderen Art der doppelten Zugriffskontrolle - auch da gibts Beispiele in der BIB - u.a. ein sehr gutes von Marco Bösch glaub ich wars.
      Eine Nutzerkontrolle mit gestaffelten DB-Rechten und verschiedenen Nutzergruppen (man kann auch Rollen dazu sagen) kannst du dir von der Anmeldeprozedur her unter http://kombisy.de/baseportal/vkal/admin anschaun, die ist m.E. ziemlich hacksicher - Zugang mit superman - allesdarf
       Das ist  aber die Endvariante mit datenbanbezogenen gestaffelten Rechten der Stufen 1-nur Ansehn; 2-nur eigene Datensätze bearbeiten 3-alle Datensätze bearbeiten und der Rollenverteilung 1-Interne Nutzergruppe (darf nur einer geschl. internen Nutzergruppe zugänglich gemachte Datensätze der entsprechend zugewiesenen Datenbank(en) ansehn und seinen eigenen Nutzerdatensatz ändern, da aber nicht die Datenbankrechte) 2-Mitarbeiter (darf alles das was mit speziellen Rechte der Rechtestufen für die DB erlaubt ist außer Datensätze löschen sowie grundsätzlich immer seinen eigenen Nutzerdatensatz bearbeiten ausser den Datenbankrechten) und 3-Administratoren (dürfen immer alles auf alle Datenbanken ausser Passworte der Nutzer in der Nutzerdatenbank ändern; Administratoren sind die einzigen, die zum Löschen von Datensätzen berechtigt sind und auch die einzigen, die die Datenbankrechte an die Nutzer vergeben dürfen) ist so komplex, dass es noch etwas dauert, eh ich die so angepasst habe, dass sie als Beispielanwendung nutzbar ist.
      
      Also, gern auch per Mail, wenn du mehr wissen willst.....
      Ruben

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Donnerstag, 18.Dezember.2003, 21:45.
    Re: passwortschutz, zugriffsrechte und datensicherheit

      > Prinzip passwortschutz aus der bib relativ logisch, aber so wie es aussieht, müsste ich dann in der eigentlichen DB(nicht die nutzer-db) die Rechte auf ändern/löschen und schreiben für ALLE freischalten. 
      

      Nein, das musst (und solltest) Du nicht, wenn doch hättest Du natürlich Recht, dass jeder auf die DB käme. Aber Du sollst der geschützten (eigentlichen) DB gar keine Rechte geben (oder z.b. nur lesen, wenn gewünscht).

      Der Trick ist, dass die Perl-Befehle innerhalb des Templates automatisch immer alle Rechte an allen Deinen Datenbanken haben (Sind ja auch Deine Templates, d.h. Du bestimmst den Code der da reinkommt). D.h. von aussen kann dann gar keiner auf die DB zugreifen, aber "von innen" per Perl-Befehle hast Du alle Rechte... Klarer?

     Antworten

    Beitrag von Claus (4645 Beiträge) am Freitag, 19.Dezember.2003, 15:56.
    Re: passwortschutz, zugriffsrechte und datensicherheit-dank für Eure Mühe!!!

      Hallo Ruben, hallo Christoph,

      Erst mal Dank an Euch für Eure Mühe. Beides hat mich, so denke ich, weitergebracht. Das Beispiel von Ruben (einzelne Datensätze mit Passwort eintragen und bearbeiten mit Nutzerausgabe) ist nicht meine Vorstellung bei der Entwicklung gewesen, allerdings waren auch interessante Aspekte in seinen Ausführungen enthalten. Leider sieht dieses Beispiel keine „normale“ Listenausgabe mit „- Alles – Suchen – Detail –„ für Unbefugte mit reinem Leserecht vor. Nehme das Mailangebot gerne zu einem späteren Zeitpunkt an, muss mich aber wohl erst mal weiter in bp und perl „bilden“!!!

      Bei Christoph seinen Ausführungen lichtet sich allerdings „der Nebel bei mir“ schon etwas mehr. Wenn ich dass richtig verstanden habe, heißt es also:
      1. DB – nutzer xxx erstellen (ohne Rechte) (z.B. Name, Kundennummer, Passwort)
      2. zweite DB mit den relevanten Daten erstellen (Rechte auf lesen für Alle setzen)
      3. Perl-Script(Passwortschutz) in DB (2) voran stellen
      4. ein Template für die berechtigten Kunden erstellen (für input, mod und ähnliches mit entsprechenden eigenen Formularen proggen)
      5. ein normales Template für die Leseberechtigten erstellen (mit Listenausgabe, suchen usw.)


      Ich hoffe, ich habe es so richtig verstanden und nerve nicht zu doll.

      Gruß
      Claus

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Freitag, 19.Dezember.2003, 19:52.
    Re: passwortschutz, zugriffsrechte und datensicherheit-dank für Eure Mühe!!!

      Bin mir nicht sicher, ob Dir bei Punkt 4 klar ist, dass Du da nichts selbst machen musst, sondern genauso die Standardausgabe vom do_all benutzen kannst...

      Und Du musst die Punkte 1-5 auch garnicht selbst durchführen, sondern Dir einfach den "Passwortschutz mit Nutzerdatenbank" aus der Bibliothek laden - da ist alles vorbereitet ;-)

     Antworten

    Beitrag von Claus (4645 Beiträge) am Sonntag, 21.Dezember.2003, 12:53.
    Re: passwortschutz, zugriffsrechte und datensicherheit-dank für Eure Mühe!!!

      Hallo Christoph,

      erst mal besten Dank für Deine Antwort, aber es gibt noch eine bzw. mehrere Fragen dazu.


      DB- mit NUTZERDATENBANK: Textauszug aus Deiner Einleitung

       Diese Anwendung realisiert, wie in der Dokumentation kurz angeschnitten, einen Passwortschutz mit einer externen Nutzerdatenbank. Nur Nutzer die dort mit Namen und Passwort verzeichnet sind, können uneingeschränkt auf die Datenbank zugreifen.
      

      1. Wie sind die Rechte an der DB „Adressen“ vergeben ( ich vermute dem Aussehen nach: Jeder eingetragene Nutzer mit Name und Passwort darf Ändern, löschen, eingeben)

      2.Wie kommen Besucher meiner Website (ohne Name und Passwort, nur mit reinem Leserecht) an eine normale Ausgabe (Alles, Suchen, Detail). Das Problem wäre dann allerdings wieder die Rechte-Vergabe und der Zugriff über ein zweites Template oder??? (Denkfehler meinerseits?????!!).

      Habe momentan (obwohl ich in perl noch nicht groß bewandert bin!!) eine eventuelle, ergänzende auf Logik basierende Lösung und Erweiterung deiner Anwendung (bib) angedacht, die auch vielen Neulingen, aber vielleicht auch fortgeschrittenen Anwendern von bp weiterhelfen könnte. Würde Dir mein Ausgangsproblem und diese Theorie gerne näher erläutern. Bin momentan noch am „basteln“. Idee und Umsetzungsvorschlag. Wohin schicken an Dich: per mail??? Spätere Veröffentlichung in der bib vorgesehen (Egal von wem, sprich von Dir oder mir!!! Brauche keine urheberrechte, sondern bin froh, wenn ich anderen Menschen (bp-nutzern) auf diese Art vielleicht neben eigenen Interessen weiterhelfen, bzw Denkansätze und Lösungen vermitteln kann!!!)

      3. Sind perl-befehle wie unless, elseif, for und ähnliche bei bp möglich? Print wurde ja auch schon durch out ersetzt!!!
      Ich hoffe, das Ganze wird jetzt nicht zu speziell und kompliziert und ich wäre dankbar für eine Antwort.

      Ich wünsche allen bp-lern/innen und dem Rest der Welt schon mal vorsorglich ein schönes Weihnachtsfest und einen guten Rutsch ins neue Jahr, getreu dem Motto "in der Ruhe liegt die Kraft".
      Gruß

      Claus

     Antworten


     
 Liste der Einträge von 33150 bis 33300:Einklappen Zur Eingabe 
Neueste Einträge << 10 | 9 | 8 | 7 | 6 | 5 | 4 | 3 | 2 | Neuere Einträge < Zur Eingabe  > Ältere Einträge | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 >> Älteste Einträge


Zurück zur Homepage

© baseportal.de. Alle Rechte vorbehalten. Nutzungsbedingungen



powered in 0.06s by baseportal.de
Erstellen Sie Ihre eigene Web-Datenbank - kostenlos!