Protezione Applicativo Web

[brumac]

Salve a tutti...
Ho realizzato una Intranet (un applicativo di gestione aziendale) in Asp.net, e l'ho messa su un server di una rete LAN privata...
Nella pagina iniziale c'è il tipico form di login, da cui, dopo l'avvenuta autenticazione dell'utente, istanzio una variabile di sessione. Quello che mi sto chiedendo è come proteggermi dai seguenti problemi:

-Accesso alle pagine .aspx, digitando il path di una pagina sulla barra degli indirizzi (vorrei ottenere una redirezione automatica sulla home!)
-Tentativi di accesso all'applicativo da parte di computer esterni alla LAN (?!) VVoVe:

Purtroppo non ho mai trattato questi problemi di sicurezza..... vabbè da qualche parte bisogna pure iniziare.
Ringrazio tutti anticipatamente

[ZofM]

Per il primo quesito devi implementare tu qualcosa.. utilizzando i metodi che il framework ti mette a disposizione. Ad es. puoi controllare la sessione dell'utente e vedere se, settata una certa variabile o se è presente l'oggetto "utente" (classe che dovrai creare) allora il visitatore potrà vedere la pagina altrimenti verrà rediretto alla home.
Le strade sono tante ed utilizzando la versione 2.0 sono anche più "eleganti".

Per il secondo punto invece è sicuramente più sicuro agire a livello di IIS. Decidere qui, quindi, chi può entrare o meno a livello di indirizzi IP.

[djciko]

Originariamente inviato da brumac
-Accesso alle pagine .aspx, digitando il path di una pagina sulla barra degli indirizzi (vorrei ottenere una redirezione automatica sulla home!)

Se ho ben capito, dopo aver superato l'autenticazione, per ogni richiesta fatta vuoi controllare che l'utente non digiti pagine nella barra.....Puoi farlo dal global.asax e rispondere adeguatamente:

codice:

    Sub Application_BeginRequest (ByVal sender As Object, ByVal e As EventArgs)
        Dim nomefile As String
        Dim URLCompleto As String
        Dim partiURL() As String

        URLCompleto = Request.Path.ToLower()
        partiURL = URLCompleto.Split("/")
        nomefile = partiURL(UBound(partiURL))

        ' Se esiste il file richiesto...
        If File.Exists(Server.MapPath(nomefile)) Then
            Response.Redirect("\tuaapplicazione\homepage.aspx?msg="non puoi digitare richieste esplicite nell'URL!")
        End If
   End Sub

ps: attenzione al percorso nel redirect, che potrebbe causare un loop....

[brumac]

grazie, era esattamente ciò che cercavo (proteggere le pagine dopo che un utente è entrato nel sistema....).

Appena ho un secondo provo il codice che mi hai postato!!!