Home Page
Articoli
Tips & Tricks
News
Forum
Archivio Forum
Blogs
Sondaggi
Rss
Video
Utenti
Chi Siamo
Contattaci
Username:
Password:
Login
Registrati ora!
Recupera Password
Home Page
Stanze Forum
ASP.NET 1.0/1.1
Sicurezza del framwork
lunedì 19 luglio 2004 - 17.12
Elenco Threads
Stanze Forum
Aggiungi ai Preferiti
Cerca nel forum
Klaus-zanini
Profilo
| Senior Member
364
messaggi | Data Invio:
lun 19 lug 2004 - 17:12
Ciao a tutti,
ho una falla nella sicurezza del portale su cui lavoro: facendo login ho la possibilità di leggere alcune pagine che mi sono abilitate in base al mio profilo gestito da un DB sql.
Con il mio frame fisso posso navigare in queste pagine senza problema, e se non mi sono autenticato tali pagine non sono visibili.
Il problema è che se clicco sulla pagina con il tasto destro e recupero dalle proprietà il suo indirizzo completo, posso spedirlo ad un mio collega il quale pur non avendo l'abilitazione può visualizzare quella pagina del protale (seppur senza il menù del frame ovviamente).
IO VORREI IMPEDIRLO!
Avevo sentito che la cosa è fattibile (o meglio che il framework mi può obbligare a passare per una determinata pagina prima di aprirne un'altra).
Qualcuno mi sa dare informazioni a proposito?
Klaus-zanini
Profilo
| Senior Member
364
messaggi | Data Invio:
lun 19 lug 2004 - 17:52
Credo tu abbia colto nel segno: io non ho implementato nulla...
Mi sai dare qualche informazione su come devo comportarmi per avere questa sicurezza ASP .NET?
Klaus-zanini
Profilo
| Senior Member
364
messaggi | Data Invio:
lun 19 lug 2004 - 17:57
Chiarisco meglio quello che vorrei, che magari semplifico il lavoro:
Vorrei che alcune mie pagine non possano essere aperte se prima non sono passato dalla pagina di login.
Klaus-zanini
Profilo
| Senior Member
364
messaggi | Data Invio:
mar 20 lug 2004 - 09:36
Dunque, ho letto e ho trovato molto interessante l'articolo, ho provato ad applicarlo ma ho un problema!
Io non devo permettere di visualizzare le pagine a chi non ha fatto login e pertanto reindirizzare alla pagina Login.aspx coloro che tentano di accederci con l'indirizzo preciso della pagina. Tale pagina risiede nella cartella Amministrazione assieme a tutti i file che intendo nascondere a chi non si "logga".
Quindi in teoria il codice che riporti dovrebbe essere quello corretto ma mi viene visualizzato questo errore:
Descrizione: Si è verificato un errore durante l'elaborazione di un file di configurazione necessario per soddisfare la richiesta. Verificare i dettagli dell'errore specifico riportati di seguito e modificare il file di configurazione in modo appropriato.
Messaggio di errore del parser: Sezione di configurazione 'location' non riconosciuta.
Errore nel codice sorgente:
Riga 37: </authorization>
Riga 38:
Riga 39: <location path="Amministrazione">
Riga 40: <system.web>
Riga 41: <authorization>
mi puoi aiutare?
Klaus-zanini
Profilo
| Senior Member
364
messaggi | Data Invio:
mar 20 lug 2004 - 11:17
Ho provato sia con la chiusura completa che con le modifiche che mi hai detto, ossia:
<authentication mode="Forms">
<forms name="miocookie
loginUrl="login.aspx"
protection="All" path="/"/>
</authentication>
<authorization>
<allow users="*"/>
</authorization>
<system.web>
<location path="Amministrazione">
<authorization>
<deny users="?"/>
</authorization>
</location>
</system.web>
Ma mi viene segnalato questo errore:
Errore di configurazione.
Descrizione: Si è verificato un errore durante l'elaborazione di un file di configurazione necessario per soddisfare la richiesta. Verificare i dettagli dell'errore specifico riportati di seguito e modificare il file di configurazione in modo appropriato.
Messaggio di errore del parser: Sezione di configurazione 'authentication' non riconosciuta.
Errore nel codice sorgente:
Riga 17: <compilation defaultLanguage="vb" debug="true"/>
Riga 18: <customErrors mode="Off"/>-->
Riga 19: <authentication mode="Forms">
Riga 20: <forms name="miocookie"
Riga 21: loginUrl="login.aspx"
cos'altro sbaglio?
Klaus-zanini
Profilo
| Senior Member
364
messaggi | Data Invio:
mar 20 lug 2004 - 14:03
Ho trovato dove mi dava l'errore. Ma il problema è che non funziona, può essere che è una funzionalità solo del framework 1.1 e non dell'1.0?
Klaus-zanini
Profilo
| Senior Member
364
messaggi | Data Invio:
mar 20 lug 2004 - 16:33
Altro errore!
Ho fatto come mi hai detto: nuovo web config ma mi da questo errore...
Messaggio di errore del parser: Non è possibile utilizzare una sezione registrata come allowDefinition='MachineToApplication' al di sotto del livello di applicazione. L'errore può essere dovuto alla presenza di una directory virtuale non configurata come applicazione in IIS.
??? :(
Klaus-zanini
Profilo
| Senior Member
364
messaggi | Data Invio:
mar 20 lug 2004 - 16:51
doppio sì
Klaus-zanini
Profilo
| Senior Member
364
messaggi | Data Invio:
gio 5 ago 2004 - 16:33
Abbi pazienza Marco, ma mi potresti dare le indicazioni precise per verificare dove sbaglio?
Dunque:
Pannello di controllo\Strumenti di amministrazione\Internet Information Services
Selezione il mio computer locale
Siti Web
Sito web predefinito
Seleziono il mio sito
(il mio sito appare come una scatolina verde aperta)
Ora cosa devo fare?
Torna su
Stanze Forum
Elenco Threads
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?
Dopo esserti registrato potrai chiedere
aiuto sul nostro
Forum
oppure aiutare gli altri
Consulta le
Stanze
disponibili.
Registrati ora !