Questo sito utilizza cookies, anche di terze parti, per mostrare pubblicità e servizi in linea con il tuo account. Leggi l'informativa sui cookies.
Username: Password: oppure
C# / VB.NET - [VB.NET] web.config & identity impersonate
Forum - C# / VB.NET - [VB.NET] web.config & identity impersonate

Avatar
enox (Normal User)
Rookie


Messaggi: 39
Iscritto: 11/06/2009

Segnala al moderatore
Postato alle 16:14
Giovedì, 01/07/2010
Anche se questo topic è legato agli altri da me aperti sulla questione sicurezza, ho ritenuto corretto tenerlo separato in quanto abbastanza peculiare; credo che per gli altri utenti sia più utile sia trattato in modo separato.

Alla creazione di un progetto Asp.Net in Visual Studio, il compilatore crea un file (web.config) che viene "deployed" nella root del progetto sul server web. All'interno di tale file sono presenti numerose informazioni che possono intaccare la sicurezza. Tra queste, il tag <identity> che definisce (volendo) user name e password per consentire al programma residente di accedere alle risorse (disco) locali.

Leggendo in giro per la rete, alcuni autori mettono in guardia il lettore sulla pericolosità di inserire user name e password in questo file, ma non mi è chiaro il motivo e queste sono le ragioni:

1) il file non è visualizzabile o scaricabile dall'esterno: evidentemente il nome è intercettato e ne viene impedito il consumo al di fuori dell'ambito locale.

2) per poter leggere quel file bisogna avere accesso ad una directory protetta dallo stesso user name e dalla stessa password.

Domanda1: perché esistono questi timori di sicurezza relativi a questo file?

Domanda2: perché lavorare con "impersonate=true" viene ritenuto più pericoloso?


La cosa peggiore è dover scegliere tra le cose da imparare...
PM Quote
Avatar
enox (Normal User)
Rookie


Messaggi: 39
Iscritto: 11/06/2009

Segnala al moderatore
Postato alle 14:54
Domenica, 04/07/2010
Le possibilità sono due:

1) ho sparato delle stupidaggini galattiche;

2) ho fatto domande la cui complessità va oltre il limite di avrebbe potuto rispondere: ergo, non mi devo preoccupare di nulla.

...mmmmh, quale delle due :-?


La cosa peggiore è dover scegliere tra le cose da imparare...
PM Quote