COMMENT restreindre l'utilisation du FileSystemObject (fso) au contexte ASP
3 réponses
Renaud COLAS
Bonjour a Tousl,
Devant faire face à diverses tentatives de Hack via ZEHIR (pour ne parler
que de ce qui vient de l'extérieur), j'ai besoin d'être sûr que le
FileSystemObject n'est pas utilisé en dehors du contexte ASP. En clair, je
ne veux pas qu'un chemin en dehors dusite appelant puisse être demandé,
comme "c:\", "d:\" et donc le dossier "\windows".
Je ne peux pas mettre en place un systeme d'authetification (plus de 4000
sites à gérer), je cherche donc une solution plus globale (par le registre?)
pour activer cette restriction. Ce genre de restriction existe pour des
produits tel que ASPupload (taille de fichier, format,...).
Puisque Microsoft continue d'offrir ce merveilleux produits depuis des
années, j'esperais qu'ils auraient au moins prévu une solution permettant
une utilisation "securisée" du FileSystemObject , mais c'est loin d'être le
cas... Je considère cela comme un trou de sécurité énorme, énorme à cause de
la durée depuis lequel rien n'a été fait en dehors de jouer sur les droits
utilisateurs (un IUSR pa site) ce qui ne me convient pas du tout!
Sûr que je ne suis pas le seul à rencontrer ce problème, j'imagine que
certain(e)s ont une solution que je serais heureux de connaître ! :-)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Francis Spiesser
Renaud COLAS avait écrit le 03/09/2004 :
Bonjour a Tousl,
Devant faire face à diverses tentatives de Hack via ZEHIR (pour ne parler que de ce qui vient de l'extérieur), j'ai besoin d'être sûr que le FileSystemObject n'est pas utilisé en dehors du contexte ASP. En clair, je ne veux pas qu'un chemin en dehors dusite appelant puisse être demandé, comme "c:", "d:" et donc le dossier "windows".
Personnellement, je définis 1 utilisateur anonyme différent par site web, ce qui me permets de ne lui affecter que les droits relatifs à son environnement. Toute tentative de "débordement" se solde alors par un "access denied"
--
------------------------------ Francis (remplacer .nospam par .net dans mon adresse pour me répondre directement)
"Quand tout baigne, il y a forcément quelque chose qui va couler"
Renaud COLAS avait écrit le 03/09/2004 :
Bonjour a Tousl,
Devant faire face à diverses tentatives de Hack via ZEHIR (pour ne parler
que de ce qui vient de l'extérieur), j'ai besoin d'être sûr que le
FileSystemObject n'est pas utilisé en dehors du contexte ASP. En clair, je
ne veux pas qu'un chemin en dehors dusite appelant puisse être demandé,
comme "c:", "d:" et donc le dossier "windows".
Personnellement, je définis 1 utilisateur anonyme différent par site
web, ce qui me permets de ne lui affecter que les droits relatifs à son
environnement. Toute tentative de "débordement" se solde alors par un
"access denied"
--
------------------------------
Francis
(remplacer .nospam par .net dans mon adresse pour me répondre
directement)
"Quand tout baigne, il y a forcément quelque chose qui va couler"
Devant faire face à diverses tentatives de Hack via ZEHIR (pour ne parler que de ce qui vient de l'extérieur), j'ai besoin d'être sûr que le FileSystemObject n'est pas utilisé en dehors du contexte ASP. En clair, je ne veux pas qu'un chemin en dehors dusite appelant puisse être demandé, comme "c:", "d:" et donc le dossier "windows".
Personnellement, je définis 1 utilisateur anonyme différent par site web, ce qui me permets de ne lui affecter que les droits relatifs à son environnement. Toute tentative de "débordement" se solde alors par un "access denied"
--
------------------------------ Francis (remplacer .nospam par .net dans mon adresse pour me répondre directement)
"Quand tout baigne, il y a forcément quelque chose qui va couler"
Renaud COLAS
Merci Francis,
Ceci dit, cela devient assez ingérables avec plusieurs milliers de sites!... Combien en gères-tu de cette manière? As-tu un script/programme qui automatise cela?
Merci :-)
"Francis Spiesser" a écrit dans le message de news:
Renaud COLAS avait écrit le 03/09/2004 : > Bonjour a Tousl, > > Devant faire face à diverses tentatives de Hack via ZEHIR (pour ne
parler
> que de ce qui vient de l'extérieur), j'ai besoin d'être sûr que le > FileSystemObject n'est pas utilisé en dehors du contexte ASP. En clair,
je
> ne veux pas qu'un chemin en dehors dusite appelant puisse être demandé, > comme "c:", "d:" et donc le dossier "windows". >
Personnellement, je définis 1 utilisateur anonyme différent par site web, ce qui me permets de ne lui affecter que les droits relatifs à son environnement. Toute tentative de "débordement" se solde alors par un "access denied"
--
------------------------------ Francis (remplacer .nospam par .net dans mon adresse pour me répondre directement)
"Quand tout baigne, il y a forcément quelque chose qui va couler"
Merci Francis,
Ceci dit, cela devient assez ingérables avec plusieurs milliers de sites!...
Combien en gères-tu de cette manière? As-tu un script/programme qui
automatise cela?
Merci :-)
"Francis Spiesser" <fspiesser@despixelsetdeshommes.nospam> a écrit dans le
message de news:mn.1aba7d498c21cdcc.2378@despixelsetdeshommes...
Renaud COLAS avait écrit le 03/09/2004 :
> Bonjour a Tousl,
>
> Devant faire face à diverses tentatives de Hack via ZEHIR (pour ne
parler
> que de ce qui vient de l'extérieur), j'ai besoin d'être sûr que le
> FileSystemObject n'est pas utilisé en dehors du contexte ASP. En clair,
je
> ne veux pas qu'un chemin en dehors dusite appelant puisse être demandé,
> comme "c:", "d:" et donc le dossier "windows".
>
Personnellement, je définis 1 utilisateur anonyme différent par site
web, ce qui me permets de ne lui affecter que les droits relatifs à son
environnement. Toute tentative de "débordement" se solde alors par un
"access denied"
--
------------------------------
Francis
(remplacer .nospam par .net dans mon adresse pour me répondre
directement)
"Quand tout baigne, il y a forcément quelque chose qui va couler"
Ceci dit, cela devient assez ingérables avec plusieurs milliers de sites!... Combien en gères-tu de cette manière? As-tu un script/programme qui automatise cela?
Merci :-)
"Francis Spiesser" a écrit dans le message de news:
Renaud COLAS avait écrit le 03/09/2004 : > Bonjour a Tousl, > > Devant faire face à diverses tentatives de Hack via ZEHIR (pour ne
parler
> que de ce qui vient de l'extérieur), j'ai besoin d'être sûr que le > FileSystemObject n'est pas utilisé en dehors du contexte ASP. En clair,
je
> ne veux pas qu'un chemin en dehors dusite appelant puisse être demandé, > comme "c:", "d:" et donc le dossier "windows". >
Personnellement, je définis 1 utilisateur anonyme différent par site web, ce qui me permets de ne lui affecter que les droits relatifs à son environnement. Toute tentative de "débordement" se solde alors par un "access denied"
--
------------------------------ Francis (remplacer .nospam par .net dans mon adresse pour me répondre directement)
"Quand tout baigne, il y a forcément quelque chose qui va couler"
Francis Spiesser
Renaud COLAS a exposé le 04/09/2004 :
Merci Francis,
Ceci dit, cela devient assez ingérables avec plusieurs milliers de sites!... Combien en gères-tu de cette manière? As-tu un script/programme qui automatise cela?
Sur environ 80 sites à l'heure actuelle (devrait doubler avant la fin de l'année), 1/3 sont gérés de manière "automatique" via Ensim webappliance, le reste à la mano.
Rien d'insurmontable en terme de quantités...
--
------------------------------ Francis (remplacer .nospam par .net dans mon adresse pour me répondre directement)
"Quand tout baigne, il y a forcément quelque chose qui va couler"
Renaud COLAS a exposé le 04/09/2004 :
Merci Francis,
Ceci dit, cela devient assez ingérables avec plusieurs milliers de sites!...
Combien en gères-tu de cette manière? As-tu un script/programme qui
automatise cela?
Sur environ 80 sites à l'heure actuelle (devrait doubler avant la fin
de l'année), 1/3 sont gérés de manière "automatique" via Ensim
webappliance, le reste à la mano.
Rien d'insurmontable en terme de quantités...
--
------------------------------
Francis
(remplacer .nospam par .net dans mon adresse pour me répondre
directement)
"Quand tout baigne, il y a forcément quelque chose qui va couler"
Ceci dit, cela devient assez ingérables avec plusieurs milliers de sites!... Combien en gères-tu de cette manière? As-tu un script/programme qui automatise cela?
Sur environ 80 sites à l'heure actuelle (devrait doubler avant la fin de l'année), 1/3 sont gérés de manière "automatique" via Ensim webappliance, le reste à la mano.
Rien d'insurmontable en terme de quantités...
--
------------------------------ Francis (remplacer .nospam par .net dans mon adresse pour me répondre directement)
"Quand tout baigne, il y a forcément quelque chose qui va couler"
