50 messaggi dal 23 gennaio 2004
Daniele Bochicchio ha scritto:
può succedere che se io metto ../../../winNT/ arrivo alla dir di windows, quindi alla riga di comando, quindi probabilmente a tutto quello che serve per fare quello che mi pare. basta?


Ciao,
permettimi di dissentire un pochino.
Come sviluppatore sono contraria all'uso dei path assoluti per ovvie ragioni.
Ammetto la mia ignoranza sulle questioni di sicurezza nell'amministrazione dei server, però ... un sysadmin che non setta le autorizzazioni in modo che da ogni dominio, sottodominio o quant'altro non si possa salire oltre la root logica, è uno che sa fare il suo lavoro ?
Oppure con IIS questo non si può fare facilmente ?
Forse mi sfugge qualcosa, avendo fino a poco tempo fa sviluppato su server Apache, ma se facevo un .. di troppo il sistema mi cazziava alla grande e non c'era modo di "sforare".
Comunque sia, ci adatteremo anche a questo :-(

Bye
bubbalù
32 messaggi dal 03 giugno 2001
Daniele Bochicchio ha scritto:
può succedere che se io metto ../../../winNT/ arrivo alla dir di windows, quindi alla riga di comando, quindi probabilmente a tutto quello che serve per fare quello che mi pare. basta?


Per quello che riesco a capire è un problema di sicurezza interna (intesa tra cliente e SERVER) e non problemi esterni. vero?

Apparte il fatto che come giustamente ribadisce BrightSoul
sicuramente (se il gestore sa fare il propri lavoro) non si ha accesso a directory al di sopra della propria root principale.

-- rispondendo a bubbalù

per settare e risolvere questo fastidioso problema su win 2003 server basta togliere una spunta

aprite iis manager>> siti web>>> propieta'>>home directory>>>configurazione>>>opzioni >>Abilita percorsi principali

in inglese ---enable parent path

e questo è tutto.

Il server su cui mi sono spostato ha accettato di abilitarmi i percorsi principali, ora il problema non sussite.

grazie a tutti





subxus ha scritto:

permettimi di dissentire un pochino.
Come sviluppatore sono contraria all'uso dei path assoluti per ovvie ragioni.


e sarebbero le ovvie ragioni?


Ammetto la mia ignoranza sulle questioni di sicurezza nell'amministrazione dei server, però ... un sysadmin che non setta le autorizzazioni in modo che da ogni dominio, sottodominio o quant'altro non si possa salire oltre la root logica, è uno che sa fare il suo lavoro ?


IIS permette di farlo, ma sono i sysadmin che in genere configurare i server in maniera allegra. tanto per capirci se tutti i sys admin fossero capaci del proprio lavoro non si prenderrebbero worm come nimda o blaster. non farei tanto affidamento sul buon senso degli altri, ecco perchè la trovo una mossa giusta.
della serie: non lamentetevi se poi ci sono problemi di sicurezza, siete voi che avete abilitato questa opzione.

subxus ha scritto:

Per quello che riesco a capire è un problema di sicurezza interna (intesa tra cliente e SERVER) e non problemi esterni. vero?


è un problema di sicurezza per tutti, perchè se il tuo svr permette l'esecuzione di codice da remoto, in modo o nell'altro, questo può influire anche su di me (vedi worm mass mailer o simili).


Il server su cui mi sono spostato ha accettato di abilitarmi i percorsi principali, ora il problema non sussite.


il consiglio che ti do', libero di accettarlo o meno (anche perchè gratuito ed in genere non sono apprezzati tanto  ) è quello di rivedere la tua applicazione e disabilitare questa opzione. poi se a te sta bene, figurati a me

all'atto pratico alcuni server permettono di arrivarci anche via URL, con sintassi del tipo http://mioserver.com/../.../../Win32/mioeseguibile.exe
certo molti sono patchati, ma con questa opzione completamente disattivata imho si è al sicuro da tutte le varianti, anche non ancora scoperte, di questi attacchi.

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
32 messaggi dal 03 giugno 2001
Daniele Bochicchio ha scritto:
subxus ha scritto:

permettimi di dissentire un pochino.
Come sviluppatore sono contraria all'uso dei path assoluti per ovvie ragioni.


e sarebbero le ovvie ragioni?


Ammetto la mia ignoranza sulle questioni di sicurezza nell'amministrazione dei server, però ... un sysadmin che non setta le autorizzazioni in modo che da ogni dominio, sottodominio o quant'altro non si possa salire oltre la root logica, è uno che sa fare il suo lavoro ?


IIS permette di farlo, ma sono i sysadmin che in genere configurare i server in maniera allegra. tanto per capirci se tutti i sys admin fossero capaci del proprio lavoro non si prenderrebbero worm come nimda o blaster. non farei tanto affidamento sul buon senso degli altri, ecco perchè la trovo una mossa giusta.
della serie: non lamentetevi se poi ci sono problemi di sicurezza, siete voi che avete abilitato questa opzione.



Scusa Daniele, ma io no ho mai scritto la prima del tuo treed

P.S. Grazie per il consiglio, comunque avevo in mente di rivedere lo script, il problema è sempre il tempo, in questo modo invece il sito continuerà a funzionare ed io ho tutto il tempo per rvedere asp e modificarlo. Infine farò ripristinare le impostazioni.
Spero :-)
da parte mia nessun problema, è solo un suggerimento per stare sicuri quando si fa bene il proprio lavoro

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
32 messaggi dal 03 giugno 2001
rimane il fatto che io non ho scritto quello che hai riportato come prima parte del tuo treed...

ciao
50 messaggi dal 23 gennaio 2004
subxus ha scritto:
rimane il fatto che io non ho scritto quello che hai riportato come prima parte del tuo treed...



Infatti l'ho scritto io e scusate se arrivo solo adesso a rispondere, ma i giorni scorsi ho dovuto correre per consegnare un lavoro e ho lasciato perdere il 3d
Sono ancora un po' fusa, comunque con le "ovvie ragioni" per cui preferisco usare i path relativi (i riferimenti relativi in generale, anche per le immagini ad esempio) intendevo dire la modularità e riutilizzabilità del codice.
Non so se sono i termini esatti, ma voglio dare l'idea con 2 esempi tratti dalla mia esperienza di sviluppatore ...

1. vi è mai capitato un cliente che vuole un sito semplice, strutturato con le pagine di testo, le immagini e qualche form ? Poi dopo un po' decide di aggiungere un catalogo on-line o di lanciarsi nell'e-commerce.
Allora viene naturale creare un livello intermedio nella gerarchia delle pagine, suddividerle e spostarne alcune sotto "catalogo" e altre sotto "generale", per esempio.
Se uso i path relativi non tutto ma molto continua a funzionare, con i path assoluti devo ripassarmi tutto il codice.

2. avete mai riciclato una parte di un sito per metterla in un altro, a partire da da un certo punto nell'albero delle cartelle, o semplicemente per testarla prima di rilasciarla, lavorando in un'area di prove di un apposito dominio di servizio ?

Questi sono 2 esempi a cui pensavo, ovviamente basta cambiare un po' il modo di affrontare i problemi e tenerne conto in fase di analisi ...
In fondo, alla fine a mettere insieme un po' di codice funzionante prima o poi ci arriviamo tutti, un buon progetto si distingue per un'analisi completa e rigorosa fatta a monte, che deve tener conto delle possibili estensioni.
E anche volendo, il nemico di tutto ciò è il tempo, come molti giustamente spesso fanno notare ...

Ciao a tutti
bubbalù

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.