Discussione:
Proibire copia
(troppo vecchio per rispondere)
Roberto
2005-02-04 09:12:50 UTC
Permalink
Buongiorno,

ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un modo per
proibire agli utenti la possibiltà di copiare dei file risiedenti sul
server, ma che devono comunque essere consultabili.

Mille grazie a tutti.

Giuseppe
Edoardo Benussi [MVP]
2005-02-04 09:24:30 UTC
Permalink
Post by Roberto
Buongiorno,
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un
modo per proibire agli utenti la possibiltà di copiare dei file
risiedenti sul server, ma che devono comunque essere consultabili.
no.
a meno che tu non tolga il permesso in scrittura
sul disco del client ma in tal modo il client
sarebbe inutilizzabile.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
http://italy.mvps.org
Roberto
2005-02-04 10:01:41 UTC
Permalink
Grazie a tutti....

anche se aperavo in una risposta differente...
Mi aspettavo che in win 2003 (ho migrato da poco da nt server) si potesse
fare qualcosa del genere per assicurare la sicurezza di alcuni dati
fondamentali......va beh, aspetterò la nuova versione!!!

Grazie ancora ragazzi!
Post by Edoardo Benussi [MVP]
Post by Roberto
Buongiorno,
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un
modo per proibire agli utenti la possibiltà di copiare dei file
risiedenti sul server, ma che devono comunque essere consultabili.
no.
a meno che tu non tolga il permesso in scrittura
sul disco del client ma in tal modo il client
sarebbe inutilizzabile.
ciao.
--
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
http://italy.mvps.org
Gabriele Del Giovine [MVP]
2005-02-05 15:28:38 UTC
Permalink
Post by Roberto
Grazie a tutti....
anche se aperavo in una risposta differente...
Mi aspettavo che in win 2003 (ho migrato da poco da nt server) si
potesse fare qualcosa del genere per assicurare la sicurezza di
alcuni dati fondamentali......va beh, aspetterò la nuova versione!!!
E rimarai deluso. Quello che vuoi far tu è impossibile con qualsiasi sistema
di condivisione files in rete. Se il file è consultabile per mezzo di
condivisione files in rete da un processo sul client allora i dati sono
arrivati sul client. Puoi inventarti tutti i meccanismi che vuoi quei dati
sono passati da una macchina all'altra. Quello che tu cerchi è possibile
solo usando un paradigma come quello del terminale oppure facendo gestire i
dati ad un sistema come un RDBMS (SQLServer, Oracle).
Nacci Giuseppe
2005-02-04 09:23:17 UTC
Permalink
Post by Roberto
Buongiorno,
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un modo per
proibire agli utenti la possibiltà di copiare dei file risiedenti sul
server, ma che devono comunque essere consultabili.
Mille grazie a tutti.
Giuseppe
Lo puoi gestire attraverso le permission sui file (tasto dx -> condivisione
e protezione).

Ciao
--
Giuseppe Nacci
Stefano Fio
2005-02-04 09:33:25 UTC
Permalink
Post by Nacci Giuseppe
Post by Roberto
Buongiorno,
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un
modo per proibire agli utenti la possibiltà di copiare dei file
risiedenti sul server, ma che devono comunque essere consultabili.
Mille grazie a tutti.
Giuseppe
Lo puoi gestire attraverso le permission sui file (tasto dx ->
condivisione e protezione).
Pino!!! hai letto bene la question!!!!!????? ;-)
Post by Nacci Giuseppe
Ciao
Ciao!
--
Stefano FIO - ***@tiscali.it
MCT - MCSE Security Windows Server 2K/2K3
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------
Nacci Giuseppe
2005-02-04 09:36:20 UTC
Permalink
Si in effetti avevo capito tutt' altro.
Sorry Roberto e grazie Stefano, sei un ottimo tutor.
--
Giuseppe Nacci
Post by Stefano Fio
Post by Nacci Giuseppe
Post by Roberto
Buongiorno,
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un
modo per proibire agli utenti la possibiltà di copiare dei file
risiedenti sul server, ma che devono comunque essere consultabili.
Mille grazie a tutti.
Giuseppe
Lo puoi gestire attraverso le permission sui file (tasto dx ->
condivisione e protezione).
Pino!!! hai letto bene la question!!!!!????? ;-)
Post by Nacci Giuseppe
Ciao
Ciao!
--
MCT - MCSE Security Windows Server 2K/2K3
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------
Nacci Giuseppe
2005-02-04 09:41:10 UTC
Permalink
Spero sia gratis :-))))))))))))))
--
Giuseppe Nacci
Post by Stefano Fio
Post by Nacci Giuseppe
Post by Roberto
Buongiorno,
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un
modo per proibire agli utenti la possibiltà di copiare dei file
risiedenti sul server, ma che devono comunque essere consultabili.
Mille grazie a tutti.
Giuseppe
Lo puoi gestire attraverso le permission sui file (tasto dx ->
condivisione e protezione).
Pino!!! hai letto bene la question!!!!!????? ;-)
Post by Nacci Giuseppe
Ciao
Ciao!
--
MCT - MCSE Security Windows Server 2K/2K3
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------
Stefano Fio
2005-02-04 09:52:56 UTC
Permalink
Post by Nacci Giuseppe
Spero sia gratis :-))))))))))))))
!!!
--
Stefano FIO - ***@tiscali.it
MCT - MCSE Security Windows Server 2K/2K3
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------


begin 666 lol.gif
M1TE&.#EA#P`/`)$"`````/__`````````"'_"TY%5%-#05!%,BXP`P$````A
M^00%"@`"`"P`````#P`/```$-%!("6J=6-3 ^<5 )WI3.(X`Y9G!UFI>;,[L
M*;KV7><M;?TD'_ %6UDZ*54N6=I],II?)@(`(?D$!0H``@`L`P`#``D`!@``
7!!-0`"#JE"%0D'D-`AA69&F64ZI&`#L`
`
end
Stefano Fio
2005-02-04 09:32:42 UTC
Permalink
Post by Roberto
Buongiorno,
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un
modo per proibire agli utenti la possibiltà di copiare dei file
risiedenti sul server, ma che devono comunque essere consultabili.
Mille grazie a tutti.
Giuseppe
La vedo dura!!! ;-)
--
Stefano FIO - ***@tiscali.it
MCT - MCSE Security Windows Server 2K/2K3
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------
Christian Paparelli
2005-02-04 09:48:36 UTC
Permalink
Post by Roberto
Buongiorno,
ciao
Post by Roberto
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un modo per
proibire agli utenti la possibiltà di copiare dei file risiedenti sul
server, ma che devono comunque essere consultabili.
se sono leggibili sono difatto copiabili
--
Christian Paparelli
http://www.ithost.ch
Fabio Crudele
2005-02-04 14:17:04 UTC
Permalink
Ciao,
un metodo ci sarebbe, ma esula un pò da quanto fa nativamente Windows... se
l'obbiettivo è permettere la lettura e non la copia puoi usare un file
residente in una cartella nasscosta, in cui i diritti d'accesso siano
assegnati all'utente system, e puoi far in modo che un applicazione flash
legga quei dati per poi generare un oggetto SWF di sola consultazione fatto
leggere da IE. E' fantasiosa la cosa, lo so, ma funziona. Certo, se poi uno
va li, copia l'swf dalla cache di IE e lo da in pasto ad illustrator...
allora vabbè... però se l'obbiettivo è evitare che file di testo possano
essere liberamente copiati allora ci sei. Il punto è che è macchinosa come
cosa, io l'ho sperimentata in uno scenario dove su un server in intranet si
pubblicavano notizie strettamente riservate, esclusivamente testuali e non
grafiche...
Anche alcune applet java potrebbero fornire una soluzione, ma se il tuo
obiettivo è sharare files diversi da quelli di testo non ho idea di come
risolvere il dilemma.
Bye!

Fabio Crudle
Post by Roberto
Buongiorno,
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un modo per
proibire agli utenti la possibiltà di copiare dei file risiedenti sul
server, ma che devono comunque essere consultabili.
Mille grazie a tutti.
Giuseppe
Christian Paparelli
2005-02-04 14:26:55 UTC
Permalink
Post by Fabio Crudele
Ciao,
ciao
Post by Fabio Crudele
un metodo ci sarebbe, ma esula un pò da quanto fa nativamente Windows... se
[stracut]

vabbe un altra alternativa allora a questo punto potrebbe essere usare
adostream e generare dinamicamente un file pdf protetto prendendo i dati da
un rdbms
--
Christian Paparelli
http://www.ithost.ch
Fabio Crudele
2005-02-04 15:25:02 UTC
Permalink
Esatto, questo a patto però di avere adobe reader Pro ed un RDBS...
Post by Christian Paparelli
Post by Fabio Crudele
Ciao,
ciao
Post by Fabio Crudele
un metodo ci sarebbe, ma esula un pò da quanto fa nativamente Windows... se
[stracut]
vabbe un altra alternativa allora a questo punto potrebbe essere usare
adostream e generare dinamicamente un file pdf protetto prendendo i dati da
un rdbms
--
Christian Paparelli
http://www.ithost.ch
Roberto
2005-02-04 14:27:47 UTC
Permalink
Grazie Fabio,

molto ingegnosa la tua idea,
ma i file che devo proteggero sono piccoli db Access.

Grazie Comunque!!!
Post by Fabio Crudele
Ciao,
un metodo ci sarebbe, ma esula un pò da quanto fa nativamente Windows... se
l'obbiettivo è permettere la lettura e non la copia puoi usare un file
residente in una cartella nasscosta, in cui i diritti d'accesso siano
assegnati all'utente system, e puoi far in modo che un applicazione flash
legga quei dati per poi generare un oggetto SWF di sola consultazione fatto
leggere da IE. E' fantasiosa la cosa, lo so, ma funziona. Certo, se poi uno
va li, copia l'swf dalla cache di IE e lo da in pasto ad illustrator...
allora vabbè... però se l'obbiettivo è evitare che file di testo possano
essere liberamente copiati allora ci sei. Il punto è che è macchinosa come
cosa, io l'ho sperimentata in uno scenario dove su un server in intranet si
pubblicavano notizie strettamente riservate, esclusivamente testuali e non
grafiche...
Anche alcune applet java potrebbero fornire una soluzione, ma se il tuo
obiettivo è sharare files diversi da quelli di testo non ho idea di come
risolvere il dilemma.
Bye!
Fabio Crudle
Post by Roberto
Buongiorno,
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un modo per
proibire agli utenti la possibiltà di copiare dei file risiedenti sul
server, ma che devono comunque essere consultabili.
Mille grazie a tutti.
Giuseppe
Fabio Crudele
2005-02-04 15:25:03 UTC
Permalink
Aspè, forse una soluzione c'è... La uso per i miei portali.
devo sapere però se il DB serve da solo, insomma se deve essere letto da
Access oppure se c'è un qualcosa che legge il DB e poi lo pubblica ad esempio
in una pagina asp.
Fammio sapere perchè ho già affrontato la cosa...
Post by Roberto
Grazie Fabio,
molto ingegnosa la tua idea,
ma i file che devo proteggero sono piccoli db Access.
Grazie Comunque!!!
Post by Fabio Crudele
Ciao,
un metodo ci sarebbe, ma esula un pò da quanto fa nativamente Windows...
se
Post by Fabio Crudele
l'obbiettivo è permettere la lettura e non la copia puoi usare un file
residente in una cartella nasscosta, in cui i diritti d'accesso siano
assegnati all'utente system, e puoi far in modo che un applicazione flash
legga quei dati per poi generare un oggetto SWF di sola consultazione
fatto
Post by Fabio Crudele
leggere da IE. E' fantasiosa la cosa, lo so, ma funziona. Certo, se poi
uno
Post by Fabio Crudele
va li, copia l'swf dalla cache di IE e lo da in pasto ad illustrator...
allora vabbè... però se l'obbiettivo è evitare che file di testo possano
essere liberamente copiati allora ci sei. Il punto è che è macchinosa come
cosa, io l'ho sperimentata in uno scenario dove su un server in intranet
si
Post by Fabio Crudele
pubblicavano notizie strettamente riservate, esclusivamente testuali e non
grafiche...
Anche alcune applet java potrebbero fornire una soluzione, ma se il tuo
obiettivo è sharare files diversi da quelli di testo non ho idea di come
risolvere il dilemma.
Bye!
Fabio Crudle
Post by Roberto
Buongiorno,
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un modo
per
Post by Fabio Crudele
Post by Roberto
proibire agli utenti la possibiltà di copiare dei file risiedenti sul
server, ma che devono comunque essere consultabili.
Mille grazie a tutti.
Giuseppe
Roberto
2005-02-04 16:37:10 UTC
Permalink
No, viene solamente utilizzato in lettura e ovviamente scrittura.
Ma poi rimane sempre lì dov'è, non viene pubblicato da nessuna parte.
Aspetto tue notizie,

Ciao e grazie.
Post by Fabio Crudele
Aspè, forse una soluzione c'è... La uso per i miei portali.
devo sapere però se il DB serve da solo, insomma se deve essere letto da
Access oppure se c'è un qualcosa che legge il DB e poi lo pubblica ad esempio
in una pagina asp.
Fammio sapere perchè ho già affrontato la cosa...
Post by Roberto
Grazie Fabio,
molto ingegnosa la tua idea,
ma i file che devo proteggero sono piccoli db Access.
Grazie Comunque!!!
Post by Fabio Crudele
Ciao,
un metodo ci sarebbe, ma esula un pò da quanto fa nativamente Windows...
se
Post by Fabio Crudele
l'obbiettivo è permettere la lettura e non la copia puoi usare un file
residente in una cartella nasscosta, in cui i diritti d'accesso siano
assegnati all'utente system, e puoi far in modo che un applicazione flash
legga quei dati per poi generare un oggetto SWF di sola consultazione
fatto
Post by Fabio Crudele
leggere da IE. E' fantasiosa la cosa, lo so, ma funziona. Certo, se poi
uno
Post by Fabio Crudele
va li, copia l'swf dalla cache di IE e lo da in pasto ad
illustrator...
Post by Fabio Crudele
Post by Roberto
Post by Fabio Crudele
allora vabbè... però se l'obbiettivo è evitare che file di testo possano
essere liberamente copiati allora ci sei. Il punto è che è macchinosa come
cosa, io l'ho sperimentata in uno scenario dove su un server in intranet
si
Post by Fabio Crudele
pubblicavano notizie strettamente riservate, esclusivamente testuali e non
grafiche...
Anche alcune applet java potrebbero fornire una soluzione, ma se il tuo
obiettivo è sharare files diversi da quelli di testo non ho idea di come
risolvere il dilemma.
Bye!
Fabio Crudle
Post by Roberto
Buongiorno,
ho un DC SBS 2003 e client XP Pro sp1, vorrei sapere se esiste un modo
per
Post by Fabio Crudele
Post by Roberto
proibire agli utenti la possibiltà di copiare dei file risiedenti sul
server, ma che devono comunque essere consultabili.
Mille grazie a tutti.
Giuseppe
Fabio Crudele
2005-02-07 08:47:03 UTC
Permalink
Bene, è possibile creare un'applicazione che spari i dati un una pagina ASP
in modo che la gente possa consultare e scrivere il tutto, ma non abbia i
permessi giusti per copiare l'MDB. Ti faccio un esempio, su
www.mappeditalia.it (tanto per farci un pò di pubblicità) c'è un'applicazione
costituita da una serie di pagine ASP che permette l'interattività (c'è una
sezione di amministrazione dietro il sito) tale che la gente possa scrivere,
consultare, uploadare immagini ecc, ma non puossa ne leggere ne copiare
direttamente l'MDB sorgente. Questo per tutelare il lavoro di realizzazione
dell'MDB stesso. in pratica le relazioni, le querry e quant'altro vengono
gestite dall' MDB che risiede in una cartella dove solo l'utente
IUSR_NOMESERVER ci può scrivere, e solo se preventivamente autentificato.
Questo impedisce la visualizzazione e la copia fisica del database, inoltre
le pagine ASP per loro natura vengono ad essere viste ma non copiate sui
client, poichè si genera si una sorta di visualizzazione (effetto del DB +
dei codici ASP), ma non si saprà mai qual'è il contenuto reale della pag. ASP
sorgente.
In questa maniera io gestisco 15 utenti che hanno diritto di scrittura
sull'MDB, ognuno con ruoli ed aree di intervento diverse, ma NESSUNO (e qui
sta il bello) può nemmeno lontanamente ipotizzare di copiare l'MDB! E se
qualcuno che ha diritti sufficenti lo fa, si riesce subito a risalire
all'autore poichè lo stesso deve essere autentificato!
Ora, non ho idea di come funziona il tuo MDB, ma se vuoi ottenere quanto
abbiamo ottenuto con Mappeditalia.it o usi un prodotto già fatto e lo
rimaneggi per le tue esigenze (come abbiam fatto noi) oppure devi fare
analizzare e scrivere la cosa da uno sviluppatore (o più d'uno), avendo cura
di proteggere gli MDB in una cartella dove solo IUSR possa accedervi in
Scrittura/modifica/lettura.
Spero di esserti stato utile. Ciao!
Post by Roberto
No, viene solamente utilizzato in lettura e ovviamente scrittura.
Ma poi rimane sempre lì dov'è, non viene pubblicato da nessuna parte.
Aspetto tue notizie,
Ciao e grazie.
------> CUT <--------
Gabriele Del Giovine [MVP]
2005-02-07 21:05:09 UTC
Permalink
Questo per tutelare il lavoro di realizzazione dell'MDB
stesso. in pratica le relazioni, le querry e quant'altro vengono
gestite dall' MDB che risiede in una cartella dove solo l'utente
IUSR_NOMESERVER ci può scrivere, e solo se preventivamente
autentificato.
IUSR_NOMESERVER è l'account di accesso anonimo di IIS. E' sempre
autenticato...
Questo impedisce la visualizzazione e la copia fisica
del database
Beh, per questo è sufficiente che il DB sia in una directory non gestita da
IIS....
, inoltre le pagine ASP per loro natura vengono ad essere
viste ma non copiate sui client, poichè si genera si una sorta di
visualizzazione (effetto del DB + dei codici ASP), ma non si saprà
mai qual'è il contenuto reale della pag. ASP sorgente.
Questo lo fa IIS di suo.
avendo cura di proteggere gli MDB in una cartella dove
solo IUSR possa accedervi in Scrittura/modifica/lettura.
Guarda che è sufficiente realizzare un oggetto COM che incapsuli tutta la
gestione dati ed metterlo dentro un package del Component Services ed
assegnare a questo package una identità di esecuzione. Usare IUSR_NOMESERVER
per far girare il codice è una follia. Tanto che di default IIS usa un
account diverso proprio per l'instaziazione di oggetti (IWAM_NOMESERVER).

Secondo me è meglio che ti studio come funziona il Component Services :-)
--
Salute e Saluti a Tutti.

Gabriele Del Giovine [Microsoft MVP] Windows Server
- Le informazioni presenti in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna.
Fabio Crudele
2005-02-08 10:35:05 UTC
Permalink
Perdoni la mia totale ignoranza, come può notare è da ieri mattina che uso
windows. Grazie per i suoi lumi, se ora cortesemente volesse rispondere più
dettagliatamente alla domanda originale di Roberto spiegando meglio di me la
sua soluzione farebbe cosa gradita. Grazie per aver sottolineato l'ovvio in
merito ad IIS, chissà, forse si stava tentando di dare una risposta che
avesse un minimo di praticità per una soluzione immediata, non si aveva la
pretesa di risolvere totalmente il problema.... ma del resto, come ho già
detto, io uso windows da ieri mattina...
Post by Gabriele Del Giovine [MVP]
Questo per tutelare il lavoro di realizzazione dell'MDB
stesso. in pratica le relazioni, le querry e quant'altro vengono
gestite dall' MDB che risiede in una cartella dove solo l'utente
IUSR_NOMESERVER ci può scrivere, e solo se preventivamente
autentificato.
IUSR_NOMESERVER è l'account di accesso anonimo di IIS. E' sempre
autenticato...
Questo impedisce la visualizzazione e la copia fisica
del database
Beh, per questo è sufficiente che il DB sia in una directory non gestita da
IIS....
, inoltre le pagine ASP per loro natura vengono ad essere
viste ma non copiate sui client, poichè si genera si una sorta di
visualizzazione (effetto del DB + dei codici ASP), ma non si saprà
mai qual'è il contenuto reale della pag. ASP sorgente.
Questo lo fa IIS di suo.
avendo cura di proteggere gli MDB in una cartella dove
solo IUSR possa accedervi in Scrittura/modifica/lettura.
Guarda che è sufficiente realizzare un oggetto COM che incapsuli tutta la
gestione dati ed metterlo dentro un package del Component Services ed
assegnare a questo package una identità di esecuzione. Usare IUSR_NOMESERVER
per far girare il codice è una follia. Tanto che di default IIS usa un
account diverso proprio per l'instaziazione di oggetti (IWAM_NOMESERVER).
Secondo me è meglio che ti studio come funziona il Component Services :-)
--
Salute e Saluti a Tutti.
Gabriele Del Giovine [Microsoft MVP] Windows Server
- Le informazioni presenti in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna.
Christian Paparelli
2005-02-08 16:34:39 UTC
Permalink
Post by Fabio Crudele
Perdoni la mia totale ignoranza, come può notare è da ieri mattina che uso
windows. Grazie per i suoi lumi, se ora cortesemente volesse rispondere più
dettagliatamente alla domanda originale di Roberto spiegando meglio di me la
sua soluzione farebbe cosa gradita. Grazie per aver sottolineato l'ovvio in
merito ad IIS, chissà, forse si stava tentando di dare una risposta che
avesse un minimo di praticità per una soluzione immediata, non si aveva la
pretesa di risolvere totalmente il problema.... ma del resto, come ho già
detto, io uso windows da ieri mattina...
il tono un po' fantozziano (com'è umano) tanto per intenderci non si addice.
Una soluzione immediata a quello richiesto non esiste in quanto ogni cosa
che viene visualizzata è possibile carpirla e quindi memorizzarla, anche se
si dovesse passare direttamente tramite la scheda video, è come chiedere di
nascondere il codice html a meno di non creare un codice proprietario e
relativo browser nun se pode lo stesso dicasi per la gestione dei file.

Tutto ovviamente senza usare soluzioni alternative e proprietarie
http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx
--
Christian Paparelli
http://www.ithost.ch
Fabio Crudele
2005-02-08 23:45:03 UTC
Permalink
Mi permetto di dissentire,
l'idea di fondo e' quella di proteggere un MDB nella sua architettura, non
l' output. E questo si può fare con gli stumenti MS. Ovvio che se pretendo di
rendere incopiabile un output sono un illuso, ma posso almeno cercare di
render complicata la vita a chi vuol papparsi il sorgente. Questo Thread mi
interessa paticolaremente poichè è da tempo che sbatto la testa nel cercare
di tutelare MDB appetitosi... ok il ragionier Ugo qui è fuori posto, lo so e
faccio ammenda, ma credo però lo siano anche i megadirettorigalattici. Ad
ogni modo, chiarite le social relation rimangono i fatti. Ed il fatto che un
MDB possa esser utilizzato ma non copiato esiste. Tutto dipende dalla natura
dei dati che si voglion tutelare, poichè il costo è proporzionale alle
soluzioni, tuttavia è possibile far sì che un applicazione asp maneggi un MBD
posto magari su una macchina SQL diversa con tanto di restrizioni e visto che
ci siamo pure in https... Le soluzioni ci sono, non capisco perche ostinarsi
a chiudersi in un vicolo cieco quando c'è la possibilità, magari con
soluzioni elaborate, di risolvere il problema originale. Se poi alla base c'è
una indisponibilità di risorse o se l'MDB in questione non è così "vitale" da
tutelare allora le cose son diverse.

Fabio Crudele
Post by Christian Paparelli
Post by Fabio Crudele
Perdoni la mia totale ignoranza, come può notare è da ieri mattina che uso
windows. Grazie per i suoi lumi, se ora cortesemente volesse rispondere più
dettagliatamente alla domanda originale di Roberto spiegando meglio di me la
sua soluzione farebbe cosa gradita. Grazie per aver sottolineato l'ovvio in
merito ad IIS, chissà, forse si stava tentando di dare una risposta che
avesse un minimo di praticità per una soluzione immediata, non si aveva la
pretesa di risolvere totalmente il problema.... ma del resto, come ho già
detto, io uso windows da ieri mattina...
il tono un po' fantozziano (com'è umano) tanto per intenderci non si addice.
Una soluzione immediata a quello richiesto non esiste in quanto ogni cosa
che viene visualizzata è possibile carpirla e quindi memorizzarla, anche se
si dovesse passare direttamente tramite la scheda video, è come chiedere di
nascondere il codice html a meno di non creare un codice proprietario e
relativo browser nun se pode lo stesso dicasi per la gestione dei file.
Tutto ovviamente senza usare soluzioni alternative e proprietarie
http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx
--
Christian Paparelli
http://www.ithost.ch
Christian Paparelli
2005-02-09 09:01:53 UTC
Permalink
Post by Fabio Crudele
Mi permetto di dissentire,
prego ci mancherebbe
Post by Fabio Crudele
l'idea di fondo e' quella di proteggere un MDB nella sua architettura, non
l' output. E questo si può fare con gli stumenti MS. Ovvio che se pretendo di
rendere incopiabile un output sono un illuso, ma posso almeno cercare di
render complicata la vita a chi vuol papparsi il sorgente. Questo Thread mi
interessa paticolaremente poichè è da tempo che sbatto la testa nel cercare
di tutelare MDB appetitosi...
[cut]

allora non mi e chiaro cosa vuoi fare, se vuoi che utenti usino i tuoi mdb
ma non possano salvarli come già detto in altri post puoi memorizzarli in un
rdbms e pubblicarli tramite ado.stream ma di fatto per poter usare il db da
qualche parte devi salvarlo
--
Christian Paparelli
http://www.ithost.ch
Fabio Crudele
2005-02-09 10:29:02 UTC
Permalink
:-) forse stiamo dicendo la stessa cosa, ma con metodiche differenti.
L'idea sollevata da Roberto, autore del Thread era in sostanza quella di
proteggere mdbs (architettura, query relazioni ecc) ma permetterne comunque
l'uso.
Il fatto che deve essere salvato è ovvio, come è altrettanto ovvio che se ho
l'accesso (admin o fisico) alla macchina dove il file è salvato sono bello e
fritto.
La mia osservazione era: in un ambiente di rete, con server chiuso in
cassaforte, N utenti possono usare l'MDB poichè lo stesso a sua volta e'
"usato" da codici ASP, in questa maniera si ottiente che:

A) si usano le relazioni, le query e quant'altro quel particolare MDB ha in se
b) nessuno può scopiazzarsi le relazioni, le query ecc perchè lavora su una
sorta di front office.

Questa era la mia osservazione. Se l'output e' di solo testo/immagini, va
benissimo un applicazione di terze parti come può essere adostream, ma se
volessi scriver dati, memorizzarli, filtrarli, richiamarli, combinarli ecc.
significa che dovrei poter avere diritti di lettura/scrittura/modifica
all'MDB. Giacchè questo in se frega la tesi iniziale (non vogliamo che
l'untente finale scopiazzi il DB) la soluzione che propongo è:

lasciamo che l'utente usi iexplorer visualizzando pagine ASP, queste pagine,
in combinazione con l'MDB produrranno quanto necessario perchè l'utente possa
utilizzare i dati dell' MDB, memorizzarli, filtrarli, richiamarli, combinarli
ecc senza metter mano direttamente all'MDB poichè esso è in una locazione
protetta, magari in una cartella non gestita da IIS , su una macchina SQL
ecc.

in tal maniera si dovrebbe impedire all'utente di rubare l'MDB.

Attenzione! se sto sbagliando qualche passaggio ti chiedo per favore di
dirmelo, poichè temo che (mentre scrivo m'è venuto un dubbio che mi fa
raggelare) se ci fosse anche in questa maniera un modo per "rubare" l'mdb una
mia applicazione sarebbe bella e fritta...
Ciao!

Fabio
Post by Christian Paparelli
Post by Fabio Crudele
Mi permetto di dissentire,
prego ci mancherebbe
Post by Fabio Crudele
l'idea di fondo e' quella di proteggere un MDB nella sua architettura, non
l' output. E questo si può fare con gli stumenti MS. Ovvio che se pretendo
di...
----------> CUT <----------------
Christian Paparelli
2005-02-09 10:44:13 UTC
Permalink
Post by Fabio Crudele
:-) forse stiamo dicendo la stessa cosa, ma con metodiche differenti.
mi sa
Post by Fabio Crudele
L'idea sollevata da Roberto, autore del Thread era in sostanza quella di
proteggere mdbs (architettura, query relazioni ecc) ma permetterne comunque
l'uso.
ok
Post by Fabio Crudele
Il fatto che deve essere salvato è ovvio, come è altrettanto ovvio che se ho
l'accesso (admin o fisico) alla macchina dove il file è salvato sono bello e
fritto.
e fin qui ci siamo
Post by Fabio Crudele
La mia osservazione era: in un ambiente di rete, con server chiuso in
cassaforte, N utenti possono usare l'MDB poichè lo stesso a sua volta e'
A) si usano le relazioni, le query e quant'altro quel particolare MDB ha in se
b) nessuno può scopiazzarsi le relazioni, le query ecc perchè lavora su una
sorta di front office.
Questa era la mia osservazione. Se l'output e' di solo testo/immagini, va
benissimo un applicazione di terze parti come può essere adostream, ma se
volessi scriver dati, memorizzarli, filtrarli, richiamarli, combinarli ecc.
significa che dovrei poter avere diritti di lettura/scrittura/modifica
all'MDB. Giacchè questo in se frega la tesi iniziale (non vogliamo che
lasciamo che l'utente usi iexplorer visualizzando pagine ASP, queste pagine,
in combinazione con l'MDB produrranno quanto necessario perchè l'utente possa
utilizzare i dati dell' MDB, memorizzarli, filtrarli, richiamarli, combinarli
ecc senza metter mano direttamente all'MDB poichè esso è in una locazione
protetta, magari in una cartella non gestita da IIS , su una macchina SQL
ecc.
in tal maniera si dovrebbe impedire all'utente di rubare l'MDB.
si certo ma in questo modo non usi access ma usi ado e quindi le jet engine,
inoltre potrebbe sempre essere possibile tramite sql injection (ad esempio)
carpire le informazioni del db quali struttura tabelle, relazioni, indici,
ecc.
Per quanto riguarda il file mdb basta posizionarlo in iis in una cartella
con diritti di modifica ntfs e senza accesso in lettura in iis
Post by Fabio Crudele
Attenzione! se sto sbagliando qualche passaggio ti chiedo per favore di
dirmelo, poichè temo che (mentre scrivo m'è venuto un dubbio che mi fa
raggelare) se ci fosse anche in questa maniera un modo per "rubare" l'mdb una
mia applicazione sarebbe bella e fritta...
come sopra è possibile se l'applicazione non è fatta bene, ad esempio se
tramite sql injection riesco a vedere il percorso oppure se riesco a
sfogliare le tabelle di sistema
--
Christian Paparelli
http://www.ithost.ch
Fabio Crudele
2005-02-09 14:57:05 UTC
Permalink
Uhmmm.... :S qui le cose prendono una piega interessante. chiedo il
permesso di postare un nuovo Thread specifico su come proteggere un Database
nelle condizioni prima espresse.
Post by Fabio Crudele
:-) forse stiamo dicendo la stessa cosa, ma con metodiche differenti.
mi sa
Post by Fabio Crudele
L'idea sollevata da Roberto, autore del Thread era in sostanza quella di
--- CUT ----<
Gabriele Del Giovine [MVP]
2005-02-09 13:31:49 UTC
Permalink
Post by Fabio Crudele
Ed il fatto
che un MDB possa esser utilizzato ma non copiato esiste.
Ovvio che esiste.Esite da quando esiste ADO.
Esite una parte di ADO, Il remote data factory che serve proprio a
remotizzare l'accesso di provider OLE-DB.
--
Salute e Saluti a Tutti.

Gabriele Del Giovine [Microsoft MVP] Windows Server
- Le informazioni presenti in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna.
Christian Paparelli
2005-02-09 13:46:39 UTC
Permalink
Post by Gabriele Del Giovine [MVP]
Ovvio che esiste.Esite da quando esiste ADO.
Esite una parte di ADO, Il remote data factory che serve proprio a
remotizzare l'accesso di provider OLE-DB.
uhm se ti riferisci a RDS meglio non usarlo in quanto non è chiaro se verrà
supportato in future release ed inoltre non è proprio il massimo a livello
di sicurezza

Imho personalmente userei ado direttamente tramite jet engine
--
Christian Paparelli
http://www.ithost.ch
Gabriele Del Giovine [MVP]
2005-02-09 18:05:43 UTC
Permalink
Post by Christian Paparelli
Post by Gabriele Del Giovine [MVP]
Ovvio che esiste.Esite da quando esiste ADO.
Esite una parte di ADO, Il remote data factory che serve proprio a
remotizzare l'accesso di provider OLE-DB.
uhm se ti riferisci a RDS meglio non usarlo in quanto non è chiaro se
verrà supportato in future release ed inoltre non è proprio il
massimo a livello di sicurezza
Hi hi, infatti, sapessi quanti danni ci ho fatto in giro :-)

Gabriele Del Giovine [MVP]
2005-02-08 20:52:59 UTC
Permalink
Post by Fabio Crudele
ma del resto, come ho già
detto, io uso windows da ieri mattina...
Io invece da avanti-ieri mattina :-)
Ho 24 ore di vantaggio.

Saluti.

PS. ho già risposto.
Fabio Crudele
2005-02-08 23:29:01 UTC
Permalink
ok ok,
chiaro il concetto, non intendo entrare in polemica. Tuttavia dal momento
che usi il sistema da avantieri ho avuto la percezione dello sberleffo di un
saccente nei confronti di un poveraccio, e questo non mi andava giù. Chiedo
scusa per il mezzo sfogo, è evidente che ho mal interpretato le tue
intenzioni. Ad ogni modo, dal momento che altri MVP in passato mi avevano
suggerito quanto ho riportato mi sorge il dubbio dell'affidabilità della cosa
e mi chiedo chi possa aver ragione. Ad ogni buon conto sto facendo un pò
d'analisi, l'idea di usare i COM mi sembra più economica in termini di
risorse e la sto approfondendo. Grazie per il suggerimento e scusa ancora per
lo sfogo.

Fabio
Post by Gabriele Del Giovine [MVP]
Post by Fabio Crudele
ma del resto, come ho già
detto, io uso windows da ieri mattina...
Io invece da avanti-ieri mattina :-)
Ho 24 ore di vantaggio.
Saluti.
PS. ho già risposto.
Gabriele Del Giovine [MVP]
2005-02-09 13:36:02 UTC
Permalink
Post by Fabio Crudele
ok ok,
chiaro il concetto, non intendo entrare in polemica. Tuttavia dal
momento che usi il sistema da avantieri ho avuto la percezione dello
sberleffo di un saccente nei confronti di un poveraccio, e questo non
mi andava giù. Chiedo scusa per il mezzo sfogo, è evidente che ho mal
interpretato le tue intenzioni. Ad ogni modo, dal momento che altri
MVP in passato mi avevano suggerito quanto ho riportato mi sorge il
dubbio dell'affidabilità della cosa e mi chiedo chi possa aver
ragione. Ad ogni buon conto sto facendo un pò d'analisi, l'idea di
usare i COM mi sembra più economica in termini di risorse e la sto
approfondendo. Grazie per il suggerimento e scusa ancora per lo sfogo.
Figurati.
PS se veramente farti male puoi provare a guardare questo
http://www.ociug.org/presentations/RDSparttwo2.ppt
Fabio Crudele
2005-02-09 14:59:02 UTC
Permalink
GASP! intentevo sbattere la testa sulla cosa, ma non frantumarmela... :-) è
roba utile, molto, ma devo digerirmela con calma. Tnks
Post by Gabriele Del Giovine [MVP]
Post by Fabio Crudele
ok ok,
chiaro il concetto, non intendo entrare in polemica. Tuttavia dal
momento che usi il sistema da avantieri ho avuto la percezione dello
sberleffo di un saccente nei confronti di un poveraccio, e questo non
mi andava giù. Chiedo scusa per il mezzo sfogo, è evidente che ho mal
interpretato le tue intenzioni. Ad ogni modo, dal momento che altri
MVP in passato mi avevano suggerito quanto ho riportato mi sorge il
dubbio dell'affidabilità della cosa e mi chiedo chi possa aver
ragione. Ad ogni buon conto sto facendo un pò d'analisi, l'idea di
usare i COM mi sembra più economica in termini di risorse e la sto
approfondendo. Grazie per il suggerimento e scusa ancora per lo sfogo.
Figurati.
PS se veramente farti male puoi provare a guardare questo
http://www.ociug.org/presentations/RDSparttwo2.ppt
Continua a leggere su narkive:
Loading...