Ciao a tutti
secondo voi è mai possibile vedere in qualche modo il codice asp net di una pagina?
Giusto per capire quanto possa essere sicura
Grazie
Ciao a tutti
secondo voi è mai possibile vedere in qualche modo il codice asp net di una pagina?
Giusto per capire quanto possa essere sicura
Grazie
victor
----------------------
spero proprio di no
Intendi il sorgente da parte dell'utente? direi di no, vede l'elaborazione della pagina sul suo client. Se intendi da parte di chi ha i fisicamente i file "compilati" (codice intermedio) dal sorgente allora si, anche se offuscato si può comunque riuscire a risalire con un po di sforzo. Se non è nemmeno offuscato allora lo vedi praticamente in chiaro con gli strumenti adatti.
Ciao ragazzi
Grazie per le risposte.
Io intendo proprio il fatto di riuscire a vedere il codice sorgente di una pagina.
In quanto come sapete nel codice sorgente ci sono inseriti quei dati che NON devono essere visti dal utente .
Altrimenti verrebbe meno la SICUREZZA della pagina: esempio password,collegamenti a database ecc...insomma qualsiasi cosa.
Però dalle vostre risposte mi sembra di capire che ovviamente è impossibile per l utente riuscire a vedere il codice.
Ma allora mi chiedo gli aker come fanno appunto a scoprire password,codici ecc...?
visto che sembrerebbe impossibile?
grazie
Mi interessa questo dibattito perché voglio capire quanto possa essere sicuro tutto quello che si fa tramite la programmazione
victor
----------------------
Come in tutti i sistemi, esistono modi per aggirare le protezioni (hai la porta blindata, però ti entrano lo stesso in casa). Ecco, la programmazione non fa differenza. Domanda: perché ti sei focalizzato proprio su asp.net?
mi sono focalizzato su asp net circa 19 anni fa
sono un autodidatta
prima avevo iniziato per caso con asp
in realta' io nasco come grafico pubblicitario
poi un bel giorno compro per caso un libro di asp da li e' iniziato tutto.
Pero' non avendo mai lavorato in nessuna azienda, essendo solo un autodidatta, so di avere molte carenze
Perche' mi chiedi come mai asp net?
non e' abbastanza socuro?
victor
----------------------
Ciao
io non sono un hacker per poterti rispondere, ma da programmatore che ha usato diversi linguaggi mi sono fatto l'idea che il problema sia raramente da attribuire ad un linguaggio particolare, piuttosto al modo di usarlo ed alla sua conoscenza. é chiaro che se non sono un buon programmatore magari di mio, ci aggiungi anche la poca conoscenza del linguaggio allora stai creando una potenziale bomba. e questo a prescindere dal linguaggio che usi.
inoltre gran parte del ruolo lo svolge il sistema in generale, non tanto il codice che scrivi.
Ora ad esempio nel tuo caso è vero che l'utente non può vedere il tuo sorgente, ma è anche vero che un male intenzionato potrebbe avere accesso al server e dunque ai tuoi file, che se sono in chiaro (o con "impedimenti" via via sempre maggiori) allora il cattivo avrà vita facile, ma se cripti il tutto bisognerebbe vedere dove metti la chiave... insomma di sicurezza potremo stare a parlare per ore, il fatto è che si tratta sempre di un continuo inseguimento in tutte le parti del sistema, non solo per il codice che si scrive.
Ti faccio un esempio banale di un problema che in qualsiasi linguaggio lo scrivi rimane sempre tale:
Immagina che io creo una API di qualche tipo che accetta un parametro che determina un percorso sul disco senza preoccuparmi di limitare l'input ad una cartella specifica, a quel punto basta inserire il percorso che vuoi ed ottieni il file con le password. Ora a prescindere dal linguaggio in cui scrivi l'API o dalla piattaforma ecc. il problema rimane sempre l'errore del programmatore nel non controllare l'input. Il linguaggio centra ben poco...
Oppure, metti che non usi i parametri nelle query e queste stiano (erroneamente) nel codice.
Con dei semplici trucchi scrivendo sql nelle textbox, possono guardare l'intera tabella (si chiama sql injection)
Comunque il codice sorgente, se è una web-application compilata non generando le DLL nella cartella bin, è in chiaro ma sul server. L'hacker deve accedere al server per poterlo guardare..
press play on tape
-----
MP3 Listing
https://sourceforge.net/projects/mp3-listing
File Listing
https://sourceforge.net/projects/file-listing-2-0/