9 messaggi dal 25 settembre 2007
Ciao a tutti!
Devo sviluppare un sito che sia pubblicato su Aruba. Il sito avrà un controllo Login per accedere alle pagine mediante il provider offerto dal framework (adattato per esportarlo nel DB MS-SQL di aruba).
Il sito deve permettere di fare l'upload di file PDF contenente dati sensibili degli utenti registrati, e qua chiedo il vostro supporto dettato dalla vostra esperienza.
I file che carico sul sito li posso salvare solo sulla cartella public, che rischio corro a salvarli li? Immagino che non abbia la solita protezione della App_Data tanto per fare un esempio. Cosa cambia in termini di sicurezza se facessi una sottocartella "Pdf" in App_Data e la mettessi accessibile in scrittura?
Non so se mi sto creando un falso problema, magari è sufficiente specificare nel file web.config che la cartella public è accessibile solo dagli utenti riconosciuti e salvarli li senza problemi. Oppure dal punto di vista della sicurezza è sbagliato e devo adottare altri accorgimenti.

Grazie per i consigli che saprete darmi.
Ciao!
420 messaggi dal 23 marzo 2010
Contributi
La cartella public ha sempre i permessi in lettura e scrittura, quindi è buona norma uppare i file(soprattutto se contengono dati sensibili) in un'altra folder.

Tuttavia dovresti preoccuparti di proteggere in lettura e in scrittura questa cartella perchè utenti non autorizzati potrebbero leggerne il contenuto senza problemi.

Utilizzando le impostazioni di sicurezza di default di ASP.NET non dovresti avere difficoltà sotto questo punto di vista.

Si può anche pensare di memorizzare il contenuto del pdf nel db sotto forma di blob e poi recuperarlo dinamicamente. Questo garantirebbe sicuramente più sicurezza rispetto all'upload nelle folder. Fondamentalmente tutto dipende daaal grandezza del tuo sistema e se a livello di prestazioni una cosa del genere può recarti dei problemi.

Ciao
9 messaggi dal 25 settembre 2007
Ti chiedo 2 cose:

-) come faccio ad uppare i file in un'altra folder? Riesco a farlo solo su public. Ho provato a fare l'upload in public e lato server ad usare File.Move() per spostarlo in App_Data ma questa operazione fallisce perché dice che l'accesso è negato.

-) Mi suggerisci di proteggere la cartella in lettura-scrittura e che usando le impostazioni di sicurezza di default non dovrei avere difficoltà. Come fare questo passaggio non mi è molto chiaro, dovrei creare una cartella per esempio "Pippo" con accesso in scrittura e nel web.config mettere:
<location path="Pippo">
    <system.web>
      <authorization>
        <allow roles="User"/>
        <deny users="*"/>
      </authorization>
    </system.web>
</location>

Intendi fare questo?

Grazie ancora.
Ciao
420 messaggi dal 23 marzo 2010
Contributi
L'accesso è negato perchè devi abilitare la folder in scrittura. Non penso che per la cartella App_Data sia possibile. Se crei altre cartelle sì.

Esattamente, intendo impostare il web.config in quel modo.

Ciao

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.