Hallo zusammen,
ich möchte gerne eine Anwendung samt Dateien formular-basiert schützen.
Dazu gibt's in der web.config einmal den Bereich
Dann gibt's dort weiter
was alle nicht authorisierten Benutzer denied. So weit so gut.
Der Zugriff auf .aspx Seiten wird nun auch verweigert, bzw. zur Login-Seite weitergereicht:
http://reiko.dyndns.org/Login/Index.aspx
Greife ich aber auf eine Datei - z. B. ein jpg - direkt zu, wird der Zugriff erlaubt:
http://reiko.dyndns.org/Login/BlaueBerge.jpg
Ich dachte ich hätte vor längerer Zeit genau das schon mal so realisiert, dass auch der Zugriff auf andere Dateien verwehrt wurde.
Windows-Authentifizierung ist nicht möglich, da die Benutzer in einer Datenbank gehalten werden sollen. Zwar verweigere ich Directory-Browsing, aber allein die Möglichkeit per Zufall den Ort und Namen einer Datei zu erraten - und damit darauf zugreifen und diese downloaden zu können - ist zu unsicher.
Habe ich etwas vergessen?
Oder muss ich nach anderen Möglichkeiten suchen? Die Dateien in die DB zu "blobben" wäre möglich, aber nicht wirklich "schön".
Danke für Hinweise
Grüße
Reiko
ich möchte gerne eine Anwendung samt Dateien formular-basiert schützen.
Dazu gibt's in der web.config einmal den Bereich
Code:
<authentication mode="Forms"> <forms loginUrl="Login.aspx"/> </authentication>
Code:
<authorization> <deny users="?"/>
Der Zugriff auf .aspx Seiten wird nun auch verweigert, bzw. zur Login-Seite weitergereicht:
http://reiko.dyndns.org/Login/Index.aspx
Greife ich aber auf eine Datei - z. B. ein jpg - direkt zu, wird der Zugriff erlaubt:
http://reiko.dyndns.org/Login/BlaueBerge.jpg
Ich dachte ich hätte vor längerer Zeit genau das schon mal so realisiert, dass auch der Zugriff auf andere Dateien verwehrt wurde.
Windows-Authentifizierung ist nicht möglich, da die Benutzer in einer Datenbank gehalten werden sollen. Zwar verweigere ich Directory-Browsing, aber allein die Möglichkeit per Zufall den Ort und Namen einer Datei zu erraten - und damit darauf zugreifen und diese downloaden zu können - ist zu unsicher.
Habe ich etwas vergessen?
Oder muss ich nach anderen Möglichkeiten suchen? Die Dateien in die DB zu "blobben" wäre möglich, aber nicht wirklich "schön".
Danke für Hinweise
Grüße
Reiko