Proteggere cartella file

[victor8872]

Ciao a tutti
non riesco a farcela...

ho una cartella pippo con tanti file all'interno
come posso fare in modo che nessuno riesca a leggere i file (anche gli html)
senza che appaia prima un pop up che contringa a mettere user e pass?

Grazie mille

[alka]

ho una cartella pippo con tanti file all'interno
come posso fare in modo che nessuno riesca a leggere i file (anche gli html)
senza che appaia prima un pop up che contringa a mettere user e pass?

Questo va fatto sul server Web.

Qual è, IIS? Che versione?
Hai cercato soluzioni su Google e affini?

[supermac]

Io nel webconfig uso questa scrittura

<location path="miacartella">
<system.web>
<authorization>
<allow roles="cliente" />
<deny users="*" />
<deny users="?" />
</authorization>
</system.web>
</location>

(la cartella è consentita solo agli utenti che hanno ruolo "clienti" mentre è inibita a tutti gli altri)

però questo prevede che tu faccia l'autenticazione usando FormsAuthentication.
Se un utente non autorizzato prova ad accedere alla cartella digitando l'url viene rispedito alla form di login.

[supermac]

Mmmh ho appena trovato un buco.

Nel webConfig ho una scrittura così:

codice:

<system.web>
		...
		<authentication mode="Forms">
			<forms ...../>
		</authentication>
		<authorization>
			<deny users="*" />
			<deny users="?" />
		</authorization>
</system.web>
<location path="Public">
		<system.web>
			<authorization>
				<allow roles="cliente, capo, agente, interno, admin" />
				<deny users="*" />
				<deny users="?" />
			</authorization>
		</system.web>
	</location>

e giustamente se non sono loggato e provo a digitare nel browser l'indirizzo della cartella Public o una sua subdir mi rimanda alla pagina di login
MA
se invece digito l'url di un file contenuto in una subdir della cartella Public me lo da disponibile liberamente???
Ma che è sta roba?

[supermac]

Assurdo
Sto verificando che le regole di autenticazione sembra valgano solo per le pagine aspx ma non per gli altri formati di file.
Se io nelle cartelle inibite agli utenti non loggati metto dei file .txt , ad esempio, conoscendo l'url diventano leggibili a chiunque anche se non hanno fatto login!
In questo modo le authorization non servono a una beata marisa...

[supermac]

Soluzione parziale e molto grezza, più tardi la testo
https://www.c-sharpcorner.com/blogs/...of-http-handle

Intanto posso affermare con media sicurezza di ricevere 92 minuti di applausi che il sistema di authorization di aspNet, per me, è una cag....... pazzesca!

[alka]

Intanto posso affermare con media sicurezza di ricevere 92 minuti di applausi che il sistema di authorization di aspNet, per me, è una cag....... pazzesca!

Io non sono tra quelli che applaude, perché qui si sta facendo confusione: è come dire che un rastrello fa schifo perché non riesce a pulire bene un pavimento, quando per quello scopo si utilizza la scopa.

Entrando nel dettaglio e nel tecnico, il sistema di Authorization e Authentication di ASP.NET - come di qualsiasi altra tecnologia che comprende queste parti - funziona ovviamente quando entra in gioco ASP.NET: se tu richiami file statici su IIS, in genere non stai passando da ASP.NET (a meno di non forzare la mano, ma è inefficiente), quindi non stai attraversando la sua pipeline, motivo per cui non vi si può applicare alcuna restrizione di questo tipo, a meno di non configurare IIS per passare *sempre* (ad ogni richiesta) da ASP.NET, oppure modificando la configurazione per interpellarlo su file con una determinata estensione.

Il sistema funziona benissimo, e ha una sua prerogativa ben specifica: se viene usato per altro, allora non è un problema del sistema in sé, quanto del suo errato impiego. Questo però l'avevo già mezzo anticipato nella mia prima risposta.

[supermac]

Well, diciamo che dopo aver visto cosa fa Authorization ti do ragione e cercherò di erudirmi sul tema.

Ora però la tua prima risposta rispondeva a gran poco: il problema di victor (e anche mio a questo punto) è di impedire che IIS mi serva dei files che non deve servirmi perchè li ho archiviati in directories DEL SITO che devono essere accessibili con determinate logiche.
La prima logica è che se un utente non è loggato non deve poter accedere ai files.
La seconda logica è che in base allo user vorrei rendergli accessibile solo i files di una specifica subdir e non quelli di altre.
Avrei una terza logica relativa ai roles che è un livello più alto (o basso come preferisci) degli user ma per ora mi accontento delle prime due.

Stante che login, user e authorization li gestisco dal codebehind delle mie pagine mi aspetterei di poter gestire questi permessi con le relative logiche da codice aspNet e/o web.config...

Il link che avevo postato prometteva questo ma al momento non sono ancora riuscito a farlo andare...

Se hai indicazioni sono benvenute
(Win Server 2019, IIS10)

[alka]

Ora però la tua prima risposta rispondeva a gran poco [...]

C'era esplicitato solo che quella feature si ottiene dal server Web: ASP.NET non c'entra nulla.
Poi l'autore della discussione non ha più risposto.

il problema di victor (e anche mio a questo punto) è di impedire che IIS mi serva dei files che non deve servirmi perchè li ho archiviati in directories DEL SITO che devono essere accessibili con determinate logiche.

Questo aspetto è chiaro.

La prima logica è che se un utente non è loggato non deve poter accedere ai files.

Qui sta il problema: cosa vuol dire "loggato"? Se si intende che ha eseguito il login nelle pagine ASP.NET, allora è una cosa che riguarda ASP.NET e non i file cosiddetti "statici", quindi si deve passare attraverso .NET per questo genere di esigenze.

La seconda logica è che in base allo user vorrei rendergli accessibile solo i files di una specifica subdir e non quelli di altre.
Avrei una terza logica relativa ai roles che è un livello più alto (o basso come preferisci) degli user ma per ora mi accontento delle prime due.

Trattandosi di logica custom, l'accesso a quei file va semplicemente fatto attraverso una "pagina ponte" realizzata appositamente per supportare le logiche di cui hai bisogno, implementata in .NET usando VB.NET o C#.

Più che accesso ai file, sembra una gestione documentale, anche se minimale: i file vanno inseriti sotto una cartella privata, affinché non siano accessibili proprio a nessuno di nessuno, e vanno caricati e "serviti" dalla pagina ASP.NET che interfacciandosi al framework gestisce tutta la fase di autenticazione con logiche custom.

Tutte le altre strade - che ci sarebbero, non le escludo - sono più complesse. Direi inutilmente più complesse.

Stante che login, user e authorization li gestisco dal codebehind delle mie pagine mi aspetterei di poter gestire questi permessi con le relative logiche da codice aspNet e/o web.config...

No, perché non passi da pagine ASP.NET, quindi non viene "triggerato" (scusa il termine) l'ecosistema .NET, a meno di non attivarlo per tutti i file, ma ciò vuol dire che il framework interverrà anche per gestire le risorse più comuni come i semplici file, ed è altamente inefficiente. Meglio a questo punto impostare una "pagina ponte" con le caratteristiche indicate sopra, secondo me.

Il link che avevo postato prometteva questo ma al momento non sono ancora riuscito a farlo andare...

Se hai indicazioni sono benvenute

Vedi sopra. Secondo me è la soluzione più semplice.

[alka]

.
<messaggio doppio per errore>