Daniele Bochicchio ha scritto:

può succedere che se io metto ../../../winNT/ arrivo alla dir di windows, quindi alla riga di comando, quindi probabilmente a tutto quello che serve per fare quello che mi pare. basta?

Ciao,
permettimi di dissentire un pochino.
Come sviluppatore sono contraria all'uso dei path assoluti per ovvie ragioni.
Ammetto la mia ignoranza sulle questioni di sicurezza nell'amministrazione dei server, però ... un sysadmin che non setta le autorizzazioni in modo che da ogni dominio, sottodominio o quant'altro non si possa salire oltre la root logica, è uno che sa fare il suo lavoro ?
Oppure con IIS questo non si può fare facilmente ?
Forse mi sfugge qualcosa, avendo fino a poco tempo fa sviluppato su server Apache, ma se facevo un .. di troppo il sistema mi cazziava alla grande e non c'era modo di "sforare".
Comunque sia, ci adatteremo anche a questo :-(

Bye
bubbalù

subxus ha scritto:

permettimi di dissentire un pochino.
Come sviluppatore sono contraria all'uso dei path assoluti per ovvie ragioni.

e sarebbero le ovvie ragioni?

Ammetto la mia ignoranza sulle questioni di sicurezza nell'amministrazione dei server, però ... un sysadmin che non setta le autorizzazioni in modo che da ogni dominio, sottodominio o quant'altro non si possa salire oltre la root logica, è uno che sa fare il suo lavoro ?

IIS permette di farlo, ma sono i sysadmin che in genere configurare i server in maniera allegra. tanto per capirci se tutti i sys admin fossero capaci del proprio lavoro non si prenderrebbero worm come nimda o blaster. non farei tanto affidamento sul buon senso degli altri, ecco perchè la trovo una mossa giusta.
della serie: non lamentetevi se poi ci sono problemi di sicurezza, siete voi che avete abilitato questa opzione.

subxus ha scritto:

Per quello che riesco a capire è un problema di sicurezza interna (intesa tra cliente e SERVER) e non problemi esterni. vero?

è un problema di sicurezza per tutti, perchè se il tuo svr permette l'esecuzione di codice da remoto, in modo o nell'altro, questo può influire anche su di me (vedi worm mass mailer o simili).

Il server su cui mi sono spostato ha accettato di abilitarmi i percorsi principali, ora il problema non sussite.

il consiglio che ti do', libero di accettarlo o meno (anche perchè gratuito ed in genere non sono apprezzati tanto ) è quello di rivedere la tua applicazione e disabilitare questa opzione. poi se a te sta bene, figurati a me

all'atto pratico alcuni server permettono di arrivarci anche via URL, con sintassi del tipo http://mioserver.com/../.../../Win32/mioeseguibile.exe
certo molti sono patchati, ma con questa opzione completamente disattivata imho si è al sicuro da tutte le varianti, anche non ancora scoperte, di questi attacchi.

da parte mia nessun problema, è solo un suggerimento per stare sicuri quando si fa bene il proprio lavoro

subxus ha scritto:

rimane il fatto che io non ho scritto quello che hai riportato come prima parte del tuo treed...

Infatti l'ho scritto io e scusate se arrivo solo adesso a rispondere, ma i giorni scorsi ho dovuto correre per consegnare un lavoro e ho lasciato perdere il 3d
Sono ancora un po' fusa, comunque con le "ovvie ragioni" per cui preferisco usare i path relativi (i riferimenti relativi in generale, anche per le immagini ad esempio) intendevo dire la modularità e riutilizzabilità del codice.
Non so se sono i termini esatti, ma voglio dare l'idea con 2 esempi tratti dalla mia esperienza di sviluppatore ...

1. vi è mai capitato un cliente che vuole un sito semplice, strutturato con le pagine di testo, le immagini e qualche form ? Poi dopo un po' decide di aggiungere un catalogo on-line o di lanciarsi nell'e-commerce.
Allora viene naturale creare un livello intermedio nella gerarchia delle pagine, suddividerle e spostarne alcune sotto "catalogo" e altre sotto "generale", per esempio.
Se uso i path relativi non tutto ma molto continua a funzionare, con i path assoluti devo ripassarmi tutto il codice.

2. avete mai riciclato una parte di un sito per metterla in un altro, a partire da da un certo punto nell'albero delle cartelle, o semplicemente per testarla prima di rilasciarla, lavorando in un'area di prove di un apposito dominio di servizio ?

Questi sono 2 esempi a cui pensavo, ovviamente basta cambiare un po' il modo di affrontare i problemi e tenerne conto in fase di analisi ...
In fondo, alla fine a mettere insieme un po' di codice funzionante prima o poi ci arriviamo tutti, un buon progetto si distingue per un'analisi completa e rigorosa fatta a monte, che deve tener conto delle possibili estensioni.
E anche volendo, il nemico di tutto ciò è il tempo, come molti giustamente spesso fanno notare ...

Ciao a tutti
bubbalù