Protezione in sql server

[pool]

Ciao a tutti,
io ho un dubbio, da poco utilizzo sql server e diciamo che voglio fare un sito con database con varie pagine del sito protette ad es., utilizzando ASP.
Il modo + usato è quello di controllare i dati provenienti da un form in una tabella con i campi ID e PSW e poi settare la variabile in modo opportuno e poi utilizzarla nelle pagine da proteggere...
Ora io mi chiedo allora in questo caso non ha senso andare a settare per ogni utente i vari account in sql server che danno ad ognuno i vari permessi al database e se si vuole anche alle tabelle, viste, ecc..?
Allora queste creazioni di account in sql server servono solo se si amministra sql server in una intranet?
Spero di essere stato chiaro

[ZofM]

Ciao, scusa ma non capisco la tua domanda...
Vuoi saperne un pò di + sulla sicurezza con SQLServer ed il Web oppure stai semplicemente chiedendo un consiglio su come creare un'area ad accesso riservato?

[pool]

Ciao ZofM,
speravo rispondessi tu ho letto altri post e mi sembri molto preparato sull'argomento, si ne voglio sapere di + o meglio ne voglio capire di +
spero mi puoi aiutare se preferisci anche per email

[pool]

scusa ho visto adesso che sei moderatore....

[ZofM]

Allora, mettiamo che tu voglia creare un'area riservata per il tuo sito.
Il metodo più sicuro è sicuramente questo:

- settare SQLServer in modo che possa accettare login solo da utenti NT (evitare l'accesso misto)
- creare una cartella riservata e dare l'accesso solo a n utenti di NT
- settare SQLServer in modo che ogni utente NT possa avere dei privilegi particolari sul database

Questa è la strada più sicura ma si capisce subito che potrà essere utilizzata solo nel caso in cui ci siano pochi utenti (perché ogni qualvolta ci sarà un nuovo utente, questo dovrà essere inserito manualmente dal pannello di controllo per poi dargli i permessi sulla cartella e sull'SQLServer).

Nel caso di molti utenti è il caso di gestire la cosa come hai fatto tu. Creare una tabella con i dati user&pass nel database. A questo punto l'accesso viene verificato in base a questi dati. Purtroppo però in questo caso è necessario utilizzare un unico utente, e cioè quello che o hai specificato nella stringa di connessione (ma io sconsiglio perché in questo caso devi utilizzare l'accesso misto di SQLServer) oppure l'utente Guest Internet di NT. In ogni caso dovrai dare i permessi ad unico utente e le verifiche sugli update/delete dovrai farli da ASP e non per mezzo di permessi di sistema.

Se c'è qualcosa che non è chiaro, chiedi pure

[pool]

Si era come pensavo all'incirca...
Si ho qualche domanda:

"- creare una cartella riservata e dare l'accesso solo a n utenti di NT "
ma se già evito l'accesso misto prechè devo farlo anche per la tabella?

benissimo, io ad. es. setto i permessi diversi per ogni utente NT, ma se l'interfaccia come in questo caso almeno è ASP e quindi sono io, diciamo, che scelgo le query che ognuno puo' eseguire a cosa serve settare permessi ad ognuno e diversi?

Non ho capito l'alternativa di Guest Internet di NT, non so cos'è e cmq io ho win2000Pro

Grazie ancora per l'aiuto