33 messaggi dal 07 febbraio 2005
Ciao a tutti,
ho da poco realizzato un'area riservata per un sito che sto realizzando!
Come controlli per la sicurezza ho usato le variabili di sessione, il Db da cui prelevo le info di accesso è realizzato in SQL Server.
Secondo voi come sicurezza basta o ci vorrebbe qualcosa di più?
Premetto che non è un sito di una banca :) ma cmq vengono gestiti molti dati personali legati agli utenti, mi spiacerebbe avere problemi di sicurezza!In ogni pagina dell'area riservata testo comunque che la variabile di sessione sia inizializzata, altrimenti mi rimanda alla pagina di login, l'ho fatto per evitare che qualche utente linki direttamente ad una pagina riservata senza passare dalla login!
Altra piccola cosa, io ho una cartella include con all'interno un file.inc con i dati per la connessione al db Sql Server, il file in questione potrebbe essere reperito da utenti esperti?In tal caso avrebbero i dati per accedere al mio database, se cmq io scrivo nell'url del browse http://miosito/includes(file.inc non viene aperto ne scaricato, mi dice che non esiste o è stato rimosso, i file .inc hanno qualche protezione in particolare o vengono gestiti in modo particolare dal server?

Grazie veramente a tutti!

Alessandro
sharkboy ha scritto:
Come controlli per la sicurezza ho usato le variabili di sessione, il Db da cui prelevo le info di accesso è realizzato in SQL Server.
Secondo voi come sicurezza basta o ci vorrebbe qualcosa di più?
Premetto che non è un sito di una banca :)

Se hai fatto le cose per bene (tutte le pagine hanno il controllo di autenticazione, non sei esposto a sql injection, ecc.) è sufficiente.
Per aumentare la sicurezza potresti pensare di comprare un certificato SSL (ma non è certo indispensabile, visto che non si tratta di una banca!)


Altra piccola cosa, io ho una cartella include con all'interno un file.inc con i dati per la connessione al db Sql Server, il file in questione potrebbe essere reperito da utenti esperti?In tal caso avrebbero i dati per accedere al mio database, se cmq io scrivo nell'url del browse http://miosito/includes(file.inc non viene aperto ne scaricato, mi dice che non esiste o è stato rimosso, i file .inc hanno qualche protezione in particolare o vengono gestiti in modo particolare dal server?


Per quel che ne so io i file con estensione .inc non sono gestiti da IIS (come comportamento di default, perciò se un utente lo punta via http... lo vede/scarica!)
Ti consiglio di rinominarli in .asp. Io uso l'estensione asp anche per gli include per (almeno) due ragioni:
1) protezione: il file, se richiesto via http, viene processato da IIS e non scaricato!
2) gli editor (VS, MSE7, ecc.) - riconoscendo l'estensione asp - mantengono attivo intellisense, la colorazione del codice, ecc.

Matteo Casati
GURU4.net
33 messaggi dal 07 febbraio 2005
Ciao,
ti ringrazio per la risposta, penso di avere fatto tutto per bene, quindi dovrei essere abbastanza ok, provvederò solo a rinominare il file inc con l'estensione asp, ci avevo pensato e dopo la tua dritta lo farò!

Ancora grazie!

Alessandro

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.