[IIS7/2008R2] Problemi di sicurezza con cartelle impostate come Write & Execute?

[MrsCassandra]

Ciao!

Volevo chiedere qualche lume circa le problematiche connesse con cartelle scrivibili in un sito web ospitato su un server Windows 2008R2 con IIS7.

Il sito e' fatto in Classic ASP e ci sono alcuni scripts che devono poter creare, modificare e cancellare file sia nella root del dominio, sia in alcune sottocartelle (si tratta di una sorta di piccolissimo CMS).

L'unico modo per ottenere cio' e' stato abilitare i permessi nella root del dominio (e relative cartelle interessate) in particolare Modify e Read & Write. Abilitando Modify, anche l'opzione Read & Execute viene abilitata e in sintesi ora l'utente IIS in questione ha praticamente tutti i permessi sulla cartella (solo Full control e Special permissions sono disabilitate).

Vorrei quindi sapere da qualcuno piu' esperto di me quali problematiche di sicurezza mi devo aspettare e cosa posso fare per aggirarle o prevenirle, considerando che devo poter mantenere la possibilita' di creare, modificare e cancellare file.

Grazie mille per ogni suggerimento!

[callistosoftwar]

Dipende... che tipo di autenticazione utilizzi per gli utenti
Purtroppo con asp.net sarebbe tutto molto piu semplice, in ogni caso è altamente sconsigliato dare permessi così larghi sulla root del sito web, ma conviene sempre fare tutto in una sottocartella dove tieni tutti i file letti e scritti.
E comunque la sicurezza del tuo sito, oltre che da come sono impostati i permessi sulle cartelle, dipende soprattutto da come hai impostato gli aspetti vari del server, come sicurezza password, updates... e da come è scritto il codice.