NOVINKA - Online rekvalifikační kurz Python programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskuze: Bezpečnost při přístupu na disk ASP.NET aplikace

V předchozím kvízu, Test znalostí C# .NET online, jsme si ověřili nabyté zkušenosti z kurzu.

Aktivity
Avatar
petr
Člen
Avatar
petr:3.5.2015 9:38

Ahoj,
Můj dotaz se týká Vašich zkušeností s bezpečností ASP.NET (skládá se jak z webform částí, tak mvc). Řekněme, že mam aplikaci, kde přistupuju na disk prostřednictvím Server.MapPath, nebo standardních tříd DictionaryInfo atp. S tím, že cesta není podstrčitelná přes GET, nebo nějakou Session či Cookie, ale na pevno nedefinovaná v kódu, do budoucna definovaná v konfiguračním souboru.

Aplikace poběží v samostatné aplikační doméně.

Teď otázka. Na daném serveru běžícím jako virtuálka poběží relativně i důvěrnější firemní aplikace (né úplně kritické, ale neurčeno veřejnosti) a nerad bych ohrozil bezpečnost těchto aplikací. Je bezpečné zpřístupnit například výpis adresáře (ať už formou bindování GetFiles třídy DictionaryInfo do WebGridu ve WebForm, nebo výpis cyklem v Razoru) veřejnosti? Aby se zákazník opravdu nedostal na jiné části disku (mimo inetpub IIS, nebo načetl stránku z jiné aplikační domény)?

Nastartování další virtuálky je problematické z licenčních důvodů (nejedná se o datacenter edici Window na hostovacím serveru).

 
Odpovědět
3.5.2015 9:38
Avatar
Michal Štěpánek
Člen
Avatar
Michal Štěpánek:3.5.2015 10:20

Lidi se dostanou jen tam, kam jim to dovolíš ty. Aby se mohl zobrazit výpis adresáře, musíš to v tom adresáři mít nastaveno, protože implicitně to je zakázáno.

Nahoru Odpovědět
3.5.2015 10:20
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Avatar
Michal Štěpánek
Člen
Avatar
Odpovídá na petr
Michal Štěpánek:3.5.2015 10:20

zapomněl jsem dát odpovědět...

Nahoru Odpovědět
3.5.2015 10:20
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Avatar
petr
Člen
Avatar
Odpovídá na Michal Štěpánek
petr:3.5.2015 10:23

Ano, spíš jsem myslel, nejsi známy nějaké bugy nebo techniky, kde by se to dalo nějak obejít. Spíše tedy jsem se chtěl ujistit, že je to dobrý nápad. :)

 
Nahoru Odpovědět
3.5.2015 10:23
Avatar
Michal Štěpánek
Člen
Avatar
Odpovídá na petr
Michal Štěpánek:3.5.2015 10:31

O ničem takovém nevím..., myslím, že v ASP.NET je bezpečnost zmáknutá dobře...

Nahoru Odpovědět
3.5.2015 10:31
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 5 zpráv z 5.