1. Inicio
  2. Pregunta y respuesta
  3. App_Data - Directorio de datos de la aplicación web. ¿Qué tan seguro es?

App_Data - Directorio de datos de la aplicación web. ¿Qué tan seguro es?

2009-02-11 8 views
6

En muchos lugares en la documentación de msdn, puede encontrar referencias al directorio App_Data. Por ejemplo here podemos leer:App_Data - Directorio de datos de la aplicación web. ¿Qué tan seguro es?

para mejorar la seguridad cuando se utiliza un archivo local de datos en una aplicación ASP.NET, debe almacenar el archivo de datos en el directorio App_Data.

y

Los archivos almacenados en el directorio App_Data no se servirá a la Web.

No he podido encontrar una referencia directa que especifique cómo se garantiza esa seguridad. ¿Hay alguna configuración de IIS, etc. que deba tener en cuenta para garantizar que los archivos que colocamos en el directorio App_Data de repente no estén disponibles para todos?

Fuente

2009-02-11 kristof

Respuesta

11

Los archivos están protegidos por un manejador de archivos prohibido. Eso es seguro mientras todo esté en ejecución. Hay posibilidades de que los manejadores de ASP.NET puedan irse dejando solo IIS en ejecución. En esos casos, sus archivos web.config y aspx archivos serán servidos como archivos de texto rectas.

Si ustedes, los datos no es muy sensible, es un buen lugar para almacenar los datos. Si tiene datos altamente sensibles, almacenarlo en otra máquina.

Editar: Más información Puede leer más acerca de los manejadores de archivos prohibidos aquí http://msdn.microsoft.com/en-us/library/bya7fh0a.aspx. Desplazarse hacia abajo notará que hay una entrada en el archivo "raíz web.config" para mdfs. Por lo general, puede encontrar este archivo en su máquina en C: \ Windows \ Microsoft.NET \ Framework \ v2.0.50727 \ CONFIG

No pude encontrar demasiada información sobre cómo bajar asp.net sin dejar de estar en ejecución. pero si buscas en Google términos como "pide descargar aspx" o algo similar, puedes encontrar informes de personas que tienen problemas (normalmente asp.net no se ha configurado correctamente) lo que permitiría que se produzca un exploit. No lo he visto suceder mucho, pero es posible.

Fuente

2009-02-11 17:59:01 Bob

+0

Gracias Bob por esa respuesta. ¿Podría recomendar alguna buena lectura sobre ese tema? – kristof

0

Por fuera de mi cabeza, me imagino que están protegidos de la misma manera que los archivos .config. Esto básicamente significa que el controlador de ASP.NET para estos elementos devuelve un mensaje de "Este tipo de página no se sirve". Puede devolver un error 404 La forma más segura de estar seguro no es almacenar su base de datos allí

Fuente

2009-02-11 17:51:27

Cuestiones relacionadas

 Cuestiones relacionadas