Protezione dei file scaricabili sul sito Web per utente

1

Ho un sito Web ASP.NET che serve documenti PDF privati. I PDF sono archiviati non crittografati su una condivisione sulla rete interna. L'utente accede e naviga alla pagina di download. Il server Web convalida che l'utente ha accesso al file, lo carica dalla condivisione e lo trasmette nella risposta.

È questo il modo "giusto", un modo sicuro per consegnare questi documenti? Ad esempio, se i PDF fossero archiviati in una directory sul sito Web stesso, ciò comporterebbe un rischio di sicurezza temporaneo. Come ho detto, non sono nella directory del sito web. Ma che altro dovrei essere a conoscenza di questa configurazione per mantenere sicuri questi documenti?

    
posta John 10.05.2013 - 17:28
fonte

1 risposta

1

Devi essere consapevole di (almeno) quanto segue:

  • Se i tuoi documenti sono in una cartella accessibile al pubblico, non sono privati. Questo include semplici protezioni come il controllo del referer, che sono banali per juke
  • Se i tuoi documenti si trovano in una cartella sopra la radice HTTP, è un passo migliore; se sono crittografati e solo uno script può leggerli, ancora meglio.
  • Se hai un inclus vuln sul tuo sito, aspettati che le persone possano leggerli
  • Aspettatevi che le persone li leggano e pianifichino di conseguenza - compilate l'audit in modo da sapere chi ha letto e, soprattutto, quando .

Ci sono molti buoni modi per farlo. Una domanda Stack ( link ) ha alcuni buoni metodi: 3 e 4 sono particolarmente interessanti, specialmente se si ha la possibilità di archivia i tuoi file su S3 (e sfrutta le credenziali del token AWS).

    
risposta data 10.05.2013 - 17:35
fonte

Leggi altre domande sui tag