PDA

Vollständige Version anzeigen : Absolute Sicherheit


Kigo
13.05.2001, 18:45
Hi Access-Freunde,

ich habe mein Programm mit einer Kennwortabfrage ausgestattet und damit einzelne Bereiche geschützt und Zugriffsrechte verteilt. Außerdem habe ich die Tasten F11 und Shift (beim Starten) deaktiviert, damit mein Programm vor unerlaubter manipulation geschützt ist. Allerdings gibt es noch die Sicherheitslücke, daß jemand eine neue DB erstellt und alles importiert.
Wie kann ich das verhindern (ohne ein Kennwort im Menü Extras für die gesamte DB zu vergeben: das ist Benutzer-unfreundlich).
Außerdem wüßte ich noch gerne wie Access bei der Eingabe eines Kennwortes die Groß-/Kleinschreibung berücksichtigt.

Vielen Dank im voraus

Kigo

Alexander Jan Peters
13.05.2001, 19:07
<font color="#000000" size="2" face="Tahoma">Hallo,

absolute Sicherheit gibt es nicht, vor allem nicht bei Access. Aber man kann es den Leuten so schwer wie möglich machen.
Zum einen wäre die Umwandlung in eine MDE zum Schutz Deiner Codes wohl angebracht.
Um das Importieren brauchst Du Dir bei vergebenen Zugriffsrechten eigentlich keine Sorgen zu machen, das klappt nicht ohne Benutzerkennung - wenn Du das Access-Sicherheitsystem nutzt. Denk aber dran eine MDB-Version als Sicherheit zu behalten, für eventuelle Änderungen.
Aber freu dich nicht zu früh, es ist auch mit all diesen Maßnahmen immer noch (wenn auch nur für richtige Pro's) möglich, die DB zu knacken.

Gruß

A.J. Peters

Empfehlenswerte Links:
<a href="http://www.donkarl.com">Access FAQ von Karl Donaubauer</a>
<a href="http://www.access-paradies.de/Links.htm">Access-Paradies Links</a></font>

Ralf3
13.05.2001, 21:32
Du kannst die Formulare, Tabellen usw. Deiner Datenbank ausblenden, Deine DB läuft dann trotzdem, doch wenn in eine andere DB importiert werden soll, werden die Formulare nicht angezeigt.

Kigo
14.05.2001, 08:02
Hi A.J., das Problem ist, daß ich eien eigenen Paßwortschutz mit VBA gemacht habe. Die Option Zugriffsrechte in Access sieht ja fantastisch und kinderleicht aus (wahrscheinlich ist Sie das auch), aber bei mir hat das nicht funktioniert. Deshalb habe ich einen eigenen Paßwortschutz mit Zugriffsrechten gemacht. Das Problem ist nun aber das dadurch das importieren nicht verhindert wird. Das ausblenden der Tabellen und Abfragen ... scheint mir auch nicht die beste Lösung zu sein.
Gibt es eine?

Mike
14.05.2001, 12:59
bevor du selber ein Sicherheitssytem strickst, das warscheinlich immer Probleme machen wird, investiere besser die Zeit ins Vestehen des Access-Sicherheitssytems. Das ist zwar etwas aufwändig zu verstehen, aber recht gut.
Mike

Kigo
14.05.2001, 13:34
Grundsätzlich gebe ich Dir ja vollkommen Recht, aber ich bin mit meinem eigenen Paßwortschutz eigendlich sehr zufrieden. Das einzige Problem ist das Importieren in eine neue Datenbank.
Das Problem bei den Zugriffsrechten von Access ist, daß der jeweilige Zugriffsschutz (meines Wissens) nicht auf das Programm gelegt werden kann, sondern nur auf den Computer. Da mein Programm aber auf einem Server steht, habe ich noch nicht kapiert, wie das einfach und pflegeleicht zu schützen ist. Für fachmännischen Rat und Hilfe bin ich natürlich offen und sehr dankbar (oder wenn mir jemand sagen kann, wie das importieren unterbunden werden kann).

Kigo

AWSW
14.05.2001, 16:55
Hallo Kigo,
meines bescheidenen Wissens nach kannst Du nicht vollständig verhindern, dass Tabellen importiert werden.

Wenn Du aber eine MDE erstellst, sind doch wenigstens Deine Ideen bezüglich des DB-Designs geschützt, denn man kommt ja nur an Tabellen ran, alles andere ist ja schon recht gut verpackt...

Ich habe mir auch eine eigene Abfrage gebaut, da ich das Problem mit dem Sicherheitssystem auch habe und es ehrlich gesagt nicht so doll finde, da es dafür (dagegen ?) etliche Cracks im Internet gibt...

Ich habe mal einen Ansatz dafür hochgeladen:
PW01.jpg
PW02.jpg
Ich habe dazu auch noch irgendwo eine Beispiel-DB, die ich aber erst mal suchen müßte, wenn Bedarf besteht ???

Nach richtiger Eingabe des PW wird das bekannte Modul der Access Hilfe, das Du wie oben erwähnt, ja auch nutzt, in umgekehrter Funktion (True) angewendet. Somit erhalte ich wieder Zugriff... Nach 15 Falscheingaben ist das Ding dicht und nur über einen versteckten Button irgendwo in der DB, ist dann über ein anderes PW wieder die Eingabe freischaltbar...

Aber wie gesagt es gibt wohl, wie immer, keinen 100%igen Schutz. Ich habe mir dazu auch schon einige Bücher angetan und da steht leider auch nicht viel mehr Input...

Wäre toll, wenn Du mir mal ein Beispiel zu Deiner PW-Routine schicken könntest, dann könnten wir uns abgleichen, vielleicht wird die Sache dann noch sicherer...

Alexander Jan Peters
14.05.2001, 17:11
<font color="#000000" size="2" face="Tahoma">Hallo,

schau Dir doch mal diese Security FAQs an <a href="http://support.microsoft.com/support/access/content/secfaq.asp">Microsoft Access Security FAQ</a> und bei Karl Donaubauer findest Du da auch recht viel (Link s.u.).

Gruß

A.J. Peters

Empfehlenswerte Links:
<a href="http://www.donkarl.com">Access FAQ von Karl Donaubauer</a>
<a href="http://www.access-paradies.de/Links.htm">Access-Paradies Links</a></font>

Kigo
14.05.2001, 17:21
Vielen Dank Axel für Deine ausführliche Antwort. Ich fürchte ,daß meine bescheidene Kennwortabfrage Dir nicht weiterhelfen wird. Es ist ja leider schade, daß man anscheinend das Importieren nicht verhindern kann, aber Du hast natürlich Recht, daß eine MDE schon eine große Hilfe ist. Wenn es allerdings nicht zu große Umstände macht, wäre ich Dir unendlich dankbar wenn Du mir Deine Beispiel-DB schicken könntest. Je sicherer desto besser.

Vielen Dank

Kigo

siggi
14.05.2001, 20:58
Hallöchen Kigöchen :)

Ich hätte da auch noch nen kleinen Vorschlag!
Wie wäre es wenn du deine Anwendung in Front und Backend aufteilst. Lege auf das Backend ein Datenbankkennwort. Beim Einbinden in das Frontend wird dann einmalig das Kennwort abgefragt. Wer dann deine Tabellen importieren will muss das Kennwort kennen!

Ist auch nicht absolut sicher, aber immerhin sicherer!

Gruß, Siggi!

guest
15.05.2001, 16:21
Guck mal in das ACCESS ONLINE LEXIKON (www.unsoftwareag.com). Im Kapitel "Sicherheit" gibt es einiges zu diesem Thema.

p2
15.05.2001, 22:27
Mojn,mojn !

War da nicht noch was mit Datenbank verschlüsseln ?

Dadurch sollten die TAbellen nicht einfach so lesbar sein.

Hanb ich aber noch nicht ausprobiert, nur gehört.

h.a.n.d. p2

sajica
06.07.2001, 18:37
Hallo Siggi,
der Tip mit dem Front und Backend funktioniert super!!! Allerdings läßt die Performance zu wünschen übrig... Ich habe da noch 2 Fragen:
1) was meinst Du mit "ist nicht absolut sicher". Wo gibt es denn Sicherheitsprobleme?

2) kann man die Backend-DB auch auf einen Server/Laufwerk legen, auf dem die User keinen Zugriff hat (zumindest nicht ohne das Admin-Paßwort)??? Kann das Server-/Laufwerkpaßwort zusätzlich zum DB-Paßwort in der Front-DB hinterlegt werden? Damit wären dann auch der datenschutzkritische Teil der Datenbank weg vom User!

Gruß
Dirk

WalterS
06.07.2001, 19:15
Hallo!

Access Datenbankkennworte sind "beinahe" im Klartext in der DB abgelegt. (Ein einer fixen Stelle mit einer Fixen verschlüsselung).

Meiner Meinung nach können Tabellen nur über einen eigen Algoritmus verschlüsselt werden um vor Importen geschützt zu werden. ( XOR -Verknüpfung mit einem Schlüssel von mindestens 128 Zeichen, möglichst noch rollend abhängig von einem Autowert in der Tabelle)