B004
Acc'97 - dziura "drag & drop" w zabezpieczeniach na
poziomie użytkownika
Poniższy problem był szeroko dyskutowany na grupie pl.comp.bazy-danych.msaccess, mniej więcej w połowie 1999r. Początkowo miałem pewne opory "moralne" czy publikować tę moim (i nie tylko) zdaniem żenującą "dziurę", potem przymierzałem się do napisania szczegółowego opisu, przykładu, itp. Sądze tymczasem, że wystarczy wklejenie tutaj mojego listu wysłanego swojego czasu na grupę microsoft.public.msaccess.security, oraz odpowiedź pracownika(niczki ;-) Microsoftu.
Antidotum na powyższy (i ponizszy ;-) "bug", może stanowić rozwiązanie Macieja, polegające na ograniczeniu uprawnień użytkowników do systemowej tabeli MSysModules2.
Dodam jeszcze, że "bug" został wyeliminowany w Access 2000.
| Subject: | Acc'97 security bug? |
| Date: | 12/23/1999 |
| Author: | Stanley P <stanley@pertus.com.pl> |
Hi,
This problem was discussed in pl.comp.bazy-danych.msaccess, but only in polish language
;-) :
1. Please assume that a database .mdb was created and secured at the user level,
which contains a form for instance (or other object, for example: a report,
a macro, a module)
2. The user has no permissions for this form (or he can open the form only, without any
possibility to read the project)
3. I assume that the user is able to look into the Database Window.
The following procedure is sufficient now: the user opens the same database again*
(opens second "instance" MS Access in Windows) and shifts the secured form with
the drag&drop method between Database Windows. After "dropping" a copy
of the secured form will be created(!), for which the user has all rights !!!
The problem in .mde databases does not exist for forms, reports and modules of
course, but it remains for tables, queries and macros.
What do you think of it? Maybe this problem was discussed here already - if
yes, excuse me.
Stanley P.
* or (in second session MS Access) user creates new "empty"
database, or opens other database (Stanley, 1 XII 2000)
| Subject: | Re: Acc'97 security bug? |
| Date: | 12/23/1999 |
| Author: | mary chipman <mchip@nospam.please |
no, this problem hasn't been extensively aired here, but microsoft is aware of
it. it only works on access objects, not jet objects for which all permissions have been
removed (tables, queries, and the user needs open/run permissions on the database itself
in order to exploit it. the only workaround is to compile the application as an MDE.
Napisał: Stanley, 1 XII 2000
Źródło: Grupa dyskusyjna pl.comp.bazy-danych-masaccess