Sto usando IIS 7.5 e voglio impersonare gli utenti per le mie diverse applicazioni in un ambiente intranet. Per fare ciò, sto considerando di utilizzare il meccanismo asp.net con l'utente / password nel web.config (crittografato), ma non sono sicuro di alcune possibili minacce. Lo spiegherò con un concetto (so che il mio esempio è inutile ma rappresenta la mia situazione quindi ti prego di sopportare me)
Diciamo che ho 2 directory:
-
Una directory vuota (DirectoryA) che consente l'accesso a tutti gli utenti (permessi ntfs) e che contiene un web.config che impersona UserA
-
Una directory (DirectoryB) contenente un sito Web a cui voglio limitare l'accesso, che contiene anche un web.config che impersona UserA (stesso utente di DirectoryA, non un errore di battitura)
Per avere la rappresentazione in corso su DirectoryB, ho bisogno di dare il permesso ntfs permettendo UserA in DirectoryB.
La mia domanda è: è possibile che qualcuno acceda a DirectoryA (che lo impersonerà come UserA) e poi in qualche modo acceda al sito su DirectoryB usando l'UserA impersonato? Se lo è, come?
Grazie per qualsiasi informazione