Grüss dich

mich interessiert, wie sicher ASP-Seiten sind. Wenn ich meine ASP-Seite z.B. mit WS_FTP Pro downloade, wird nur der Code angezeigt, der nicht kritisch ist (das ist auch gut so).

Per FTP solltest du eigentlich das ganze Skript zurückbekommen. Da spielt ASP AFAIK nicht mit.

Falls der User das im Web betrachtet, wird ja der IF-Content ausgeführt. Und z.B. beim FTP-Download nicht.

Aber ist diese Methode wirklich sicher?

Du willst doch niemandem Zugriff auf deine Skripte per FTP geben, oder? Erstelle ein Unterverzeichnis und beschränke die Berechtigungen der Benutzer so weit wie nur möglich.

Ich glaube mir öffnet sich ein riesiges Sicherheitsloch, wenn ich z.B. dem User gestatte, beliebige Files upzuloaden.

Wenn er in Verzeichnisse hochladen kann, in denen Skripte ausgeführt und per HTTP drauf zugegriffen werden kann: JA! Beschränke die Rechte, erstelle seperate Verzeichnisse und tue nichts dergleichen, bevor du nicht ganz genau weisst, was du tust!

Was ist, aber wenn er eine ASP-File uploadet, welche mir den Content aus test.html in eine Textdatei schreibt und diese dann downloadet??

Das wird er mit eingeschränkten Rechten nicht können, weil er nicht per HTTP direkt auf das Verzeichnis zugreifen kann und somit die Skripte nicht ausgeführt werden. Du musst halt ein Skript schreiben, welches ihm die Daten anzeigt (per Skript kannst du auf das Verzeichnis zugreifen).

Ich hoffe das ist nicht möglich.

Je nach Konfiguration...

Wenn doch, was empfiehlt ihr mir als Lösung.

Lesen, Rechte beschränken und lokal ausprobieren.

Upload bestimmter Dateien verhindern?

Das wäre ev. auch nicht schlecht.

FG & HTH

Tom2