Discussion :

[ahage4x4]

Bonjour a tous,

Question d'ordre general: J'ai un fichier XML qui me sert de source de données pour mon guestbook.
Le fichier se trouve dans XML\guestbook.xml. Les droites d'ecritures sont données a partir de IIS vers ce repertoire.
Ma page aspx ecrit dans ce fichier.
Je ne connais rien concernant la securité WEB et la question generale est:
Est ce une bonne idée de mettre le fichier XML dans ce repertoire sous la racine?
Vaudrais t il mieux de le mettre dans un repertoire virtuel? Qu'est ce que ca apporterai?

Autre question: Comment empecher la lecture de ce fichier XML via le browser par exemple http://www.monsite.com/XML/guestbook.xml

Merci pour vos conseils

[tomlev]

Dans la conf d'IIS, tu peux empêcher l'accès à ce répertoire par les clients. Par contre ton appli pourra toujours l'utiliser.

[ahage4x4]

Dans la conf d'IIS, tu peux empêcher l'accès à ce répertoire par les clients. Par contre ton appli pourra toujours l'utiliser.

Tomlev, comment peux t on configurer le repertoire de la sorte?

Merci

[tomlev]

Précisément, je sais plus... et j'ai pas IIS sous la main pour vérifier.
Tu peux accéder à la gestion d'IIS dans la console de gestion de l'ordinateur (clic droit sur Poste de travail, Gérer). Ensuite tu vas voir les propriétés du dossier virtuel, mais je sais plus exactement ce qu'il faut changer...

[ahage4x4]

Ok merci quand même, pour info je suis sur un repertoire sous racine (non virtuel), faut t il de preference (niveau securité) manipuler des fichiers XML sous repertoire virtuel? Qu'est ce que ca rapporte au niveau securité.

Merci !!

[tomlev]

Ben de toutes façons, répertoire virtuel ou non, tu peux toujours interdire à IIS de servir les fichiers XML...
Après je suis pas vraiment expert en ASP.NET, je sais pas trop quelles sont les best practices...

[Cyrilange]

Une fois que tu as déterminé qui peut accéder au fichier se trouvant dans le dossier "XML", met un fichier Web.config dans ce dossier.

Exemple :
- Les utilisateurs anonyme n'ont pas de droit d'accés.
- Les utilisateurs dans le role "Membres" ont un droit d'accès.

Ca donne ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <system.web>
        <authorization>
            <deny users="?" />
            <allow roles="Membres" />
        </authorization>
    </system.web>
</configuration>

Tu peux même être plus spécifique en donnant des autorisations différentes à chaques fichiers dans un dossier en utilisant la node "<Location>".

Tu trouvas sur mon blog des méthodes permettant de modifier dynamiquement un fichier Web.config içi

[ahage4x4]

Bonjour Cyrilange,
Votre article est très intéressant et je vous remercie. Je voudrais svp un peu d'éclaircissement.

Au fait, mon fichier Guestbook.Xml est accédé en lecture pour afficher le Guestbook, et une Form va accéder a ce fichier pour ajouter une Entrée de Guestbook sans authentification (Utilisateur Anonyme?)
Chez un hebergeur .NET mutualisé ou je suppose que je n'aurai pas toutes les options de sécurité, comment sécuriser ce genre de répertoire :
-Autoriser l'affichage du Guestbook via ma page aspx
-Ne pas autoriser la lecture ou l'affichage du fichier XML via l'adresse http://www.monsite.com/XML/Guestbook.xml
-Autoriser la modification de ce fichier via une autre page aspx tout en étant protegé des scripts malveillants/Pirates

Qu'est ce que vous me conseillez?
En vous remerciant.

[Cyrilange]

Et bien je ferais ceci:
-Autoriser l'accès en écriture au dossier XML à l'utilisateur ASPNET et RESEAU.

Ensuite je met un fichier Web.config dans mon dossier XML comme celui-ci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <system.web>
        <authorization>
            <deny users="?" />
              </authorization>
    </system.web>
</configuration>

Ainsi, un utilisateur anonyme ne pourra pas accéder à mon fichier par l'URL http://www.monsite.com/XML/Guestbook.xml.
Par contre je peux continuer d'écrire et lire mon fichier xml dans mon code behind puisque cela utilise l'utilisateur ASPNET.

[ahage4x4]

C'est parfait!!
Merci bien pour ces explications!