Por lo tanto, suponiendo que aquí la base de datos solo está destinada a ser accesible por el código ASP y no a los clientes de la aplicación web, una alternativa mejor a mantener la base de datos en un directorio "aleatorio" debajo de la raíz web sería mantener la base de datos. fuera de la webroot por completo. De esa manera, un atacante no podría dirigirse directamente a la base de datos a través del sitio web (sin que otro problema de seguridad se lo permita).
Si pretende que los clientes del sitio web descarguen directamente o accedan al archivo MDB, es posible que ocultar la base de datos no sea un control muy sólido. Un atacante puede encontrar la ubicación observando el tráfico de otros clientes o encontrando una referencia a esta en otras partes del sitio.
Una alternativa más sólida aquí sería restringir el acceso a la base de datos solo a usuarios autenticados. Incluso si no tiene una configuración de sistema de membresía completa para su sitio, podría usar algo como la autenticación de resumen HTTP para restringir el acceso de los usuarios. Por sí sola, no es una solución perfecta, pero es más difícil que confiar en que un atacante no encuentre una URL.