FCKeditor due domande veloci

domenica 04 marzo 2007 - 22.39

lordwaizard Profilo | Senior Member

1) Quando premo salva e ho inserito già dei dati in formato html riporta:
Valore potenzialmente pericoloso Request.Form rilevato dal client (FCKeditor1="<strong>ciao</strong...").

Dettagli eccezione: System.Web.HttpRequestValidationException: Valore potenzialmente pericoloso Request.Form rilevato dal client (FCKeditor1="<strong>ciao</strong...").

Come posso evitare l'errore garantendo cmq uno standart di sicurezza elevato?

2) Se inserisco nel file default.aspx.vb delle righe di comando è possibile proteggerle? Quante possibilità ci sono che un utente riesca a leggare il contenuto del mio programma?

Grazie in anticipo
Davide

Daniele G. Profilo | Newbie

1) Per evitare l'errore devi inserire il comando ValidateRequest=false nella riga<@page ..>
Per la sicurezza in questo caso devi smanettare con il codice.

2) non ho ben capito la domanda ^^'

lordwaizard Profilo | Senior Member

2) Praticamente per il periodo di test, ho delle password per accedere nel db salvate direttamente nel programma (nel file .vb).
Devo pubblicare apsx e vb?
Non è che rischio, pubblicando i files .vb, che qualcuno possa leggere il mio codice?

Scusa per la domanda ma ero abituato a php e veniva interpretato tutto e rimaneva fuori solo l'output html.


Grazie e scusa per la domanda da principiante

Daniele G. Profilo | Newbie

>2) Praticamente per il periodo di test, ho delle password per
>accedere nel db salvate direttamente nel programma (nel file
>.vb).
>Devo pubblicare apsx e vb?
>Non è che rischio, pubblicando i files .vb, che qualcuno possa
>leggere il mio codice?
>
>Scusa per la domanda ma ero abituato a php e veniva interpretato
>tutto e rimaneva fuori solo l'output html.
>
>
>Grazie e scusa per la domanda da principiante

Allora, a livello di runtime vedi solo del codice html (è quello che ti restituisce il server alla richiesta). Per vedere il codice della pagina bisogna necessariamente scaricare i file dall'FTP del tuo hosting. IIn ogni caso, puoi pubblicare solo i file aspx senza i .vb.

amelix Profilo | Expert

Con .net il tuo codice, anche quello compilato, è praticamente "pubblico".
Esiste una utility (Reflector - http://www.aisto.com/roeder/dotnet/) che ti visualizza il codice delle tua DLL.
Se non ti fidi... usa un offuscatore di codice e cripta le password...

Andrea
http://www.MelisWeb.eu/

Daniele G. Profilo | Newbie

>Con .net il tuo codice, anche quello compilato, è praticamente
>"pubblico".
>Esiste una utility (Reflector - http://www.aisto.com/roeder/dotnet/)
>che ti visualizza il codice delle tua DLL.
>Se non ti fidi... usa un offuscatore di codice e cripta le password...
>
>Andrea
>http://www.MelisWeb.eu/

Correggimi se sbaglio, ma penso che con reflector non vedo il contenuto delle variabili. O no?

amelix Profilo | Expert

Mmhhhh.... Mi fai venire un dubbio....
Adesso provo al volo!

MODIFICA:
Confermo.... Si vede TUTTO!

Andrea
http://www.MelisWeb.eu/

Daniele G. Profilo | Newbie

>Mmhhhh.... Mi fai venire un dubbio....
>Adesso provo al volo!
>
>MODIFICA:
>Confermo.... Si vede TUTTO!
>
>Andrea
>http://www.MelisWeb.eu/

Azzo, bella rogna
E' la prima volta che mi pongo il problema: voi come lo risolvete? Criptando tutto? Da qualche parte in chiaro però la dovrò pur scrivere la stringa di connessione. O no?

amelix Profilo | Expert

Io non lo risolvo...
Spero che nessuno vada a guardare le mie cose...
Cmq se riescono ad arrivare a scaricare la DLL o il web.config (per un sito web) vuol dire che hanno le capacità di fare anche altro...

Per gli applicativi client è ancora + difficile perchè non hai la possibilità di nasconderle.


Andrea
http://www.MelisWeb.eu/
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !
Copyright © dotNetHell.it 2002-2023
Running on Windows Server 2008 R2 Standard, SQL Server 2012 & ASP.NET 3.5