Proteggere le web directory di IIS5 da OS con script

[AlexMajor]

Ciao a tutti,

fino a questo momento conoscevo il sistema di proteggere i files ASP con script che leggevano un DB.
Però, se non ti ricordi di includere all' inizio di ogni pagina da proteggere i riferimenti allo script che controlla se sei loggato o meno.... riescono a leggere la pagina.Tra le altre cose se hai il flag di loggato e riesci a puntare su un file non tuo,potrai lo stesso leggerlo.


Volevo però sapere se esistono degli script in modo tale che permettando di proteggere via sistema operativo gli accessi alla directory del sito web.Sicuramente è un mezzo più forte rispetto alla solita protezione con log via script.

Sapete in alternativa metodi "sicuri" o ragionevolmente sicuri?

Lo script che ho fatto si basa su un DB access in cui vi sono i dati utente e la sua relativa directory.

Una volta loggato l' utente viene sbattuto nella sua directory e gli viene visualizzata la sua pagina di default.Se però indovina le directory degli altri utenti , mi legge i files perchè ha il flag di loggato.

Voi cosa consigliate?

Ciao

[Corinna]

Puoi utilizzare gli utenti di Windows?

[AlexMajor]

Ciao,

mi sa che sei proprio masochista se vuoi aiutarmi anche qui... ti ringrazio molto.


Tu dici di creare gli account (windows 2000 server) da OS in modo tale che poi gli utenti vengano inseriti direttamente nella loro directory?

Però in questo modo non ho un DB da consultare e non posso appioppare altre variabili di sessione in modo da tipicizzare le pagine ASP per il cliente loggato.

Se creo quegli account via OS, l' utente mi viene inserito nella sua directory :

operazioni coinvolte :

A) Log in con indirizzamento
B) Protezione directory

Questo significherebbe fare tutto a mano per ogni cliente.

Ammesso e magari non concesso che quello che dico sia in effetti la verità (non sono sicuro) , esiste uno script per fare automaticamente queste cose.

Es. ci sono molti hosting provider che ti danno un pannnellino per modificare e proteggere le directory del tuo sito.Ma praticamente non so come si fa...

Mi puoi aiutare?

Ciao
Alessandro

[seclimar]

se vuoi proteggere le pagine...
metti tutta la pagina nel DB!!!
e poi esegui il contenuto della tabella

io non lo farei perche' e' un bel lavoro
ma si puo' fare...

altrimenti puoi farlo giocando con le cartelle e con i permessi


una cosa banale... che puoi fare....
so che le pagine asp si possono mascherare
mi spiego

il codice ASP dentro le pagine si puo' scrivere in modo Compilato ..rendendo cosi' la comprensione difficile...
non ricordo come si fa...
e in ogni caso.. una de-compilazione...e' molto facile!

[AlexMajor]

Ti spiego come faccio solitamente, non so però se dal punto di vista della sicurezza è accettabile.

Parto da un DB access (IIS5 è configurato da NON poterlo scaricare direttamente)

Vi è la solita pagina di login che fa poi accedere alla sua directory.
La directory del tizio è inserita nel DB

il DB ha i seguenti campi

user,password,società,nome,cognome,URL

La scocciatura è che per ogni pagina (solo ASP) da proteggere devi includere il file che fa il controllo se ti sei loggato.

Secondo te, se controllassi (nello stesso script di include) anche che la password di sessione coincidano con l' URL effettivo del file che si sta leggendo?

E poi come faccio a proteggere ciò che non è ASP?

Come fanno alcuni hoster a permetterti di creare un DB che proteggone le directory direttamente.Devo per forza farlo a mano, ad uno ad uno lato sistema operativo?

Tu cosa mi consigli.
I dati che devo proteggere non sono tipo carta di credito, ma sono informazioni tecniche del prodotto, che comunque devono rimanere segrete, sono rivelate solo al cliente che ne deve fare la manutenzione.Un altro esempio è la lista dei clienti, che per motivi di concorrenza deve essere tenuta segreta.

Alessandro

[seclimar]

non ho capito la cosa piu' importante!

IIS usa la autenticazione windows O l'accesso anonimo (quindi gestisci tu via applicativo gli utenti) ???????

[AlexMajor]

Il sito web usa l' "autenticazione anonima", ovvero buoi cani e maiali possono entrare....

[seclimar]

perfetto...!
quindi nessuno di essi puo' andare sul disco a fregarti le pagine!
non vedo che problema c'e'!!

[AlexMajor]

Non ho capito?

L' autenticazione è per forza anonima altrimenti il il sito web non si vedrebbe (è un webserver).

Quindi dici che quello che faccio sia sufficiente?

[seclimar]

se uno accede come anonimo...
vuole dire che il disco viene letto da IIS attraverso un utente IUSR_nomePC
basta che metti su queste cartelle che l'unico utente che puo' leggerle e' IUSR_nomePC
di conseguenza le tue pagine asp non possono essere lette da nessun utente che non sia IUSR_nomePC!

non vedo cosa devi proteggere di piu'!