5 messaggi dal 07 maggio 2007
Ciao a tutti, in primis vi descrivo lo scenario: ho un server con windows 2003 e iis6. In questo server ci sono configurati diversi domini, ovviamente ogni dominio ha la sua cartella.

Se per esempio installo un file manager in asp in uno qualunque dei domini, ho scoperto che c'è la possibilità di risalire alla root ed esplorare anche le cartelle degli altri domini.

Sono preoccupato per la sicurezza.

Come bloccare l'accesso degli script al loro specifico dominio/cartella?

Grazie a tutti.
11.097 messaggi dal 09 febbraio 2002
Contributi
Ciao,
ricordo di aver avuto il tuo stesso problema. Nel mio caso avevo semplicemente disabilitato il componente FileSystemObject.

Se ti interessa questa soluzione, leggi qui al paragrafo "Disabilitazione del componente File System Object"
http://technet.microsoft.com/it-it/library/cc875829.aspx

Comprendi bene però che altre applicazioni ASP classico non potranno più farne uso e per realizzare il tuo file manager dovrai scegliere un'altra tecnologia, come ASP.NET. Assicurati quindi che disabilitare questo componente non comprometta altre applicazioni.

In alternativa, non so se sia possibile fare qualcosa a livello sistemistico, tipo creare un utente apposito per ogni sito web e costringerlo a restare confinato nella root del suo sito. Su windows non c'è uno strumento tipo il chroot di linux, quindi non so cosa potresti fare per impedire che uno script possa andare a curiosare in altre cartelle.

Secondo me, se la sicurezza del tuo server è realmente prioritaria, dovresti procurarti un secondo server in cui iniziare ad installare le nuove applicazioni. Se è anch'essa una macchina con Windows 2003, configurala in modo da seguire tutte le indicazioni riportate nel link che ti ho postato. Altrimenti procurati Windows Server 2008, che ha una configurazione secure by default. Come ultimo consiglio: inizia un percorso di studio per passare definitivamente ad ASP.NET.

ciao,
Moreno
Modificato da BrightSoul il 16 marzo 2014 11.23 -

Enjoy learning and just keep making

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.