Re: Problema de seguridad (seguimos...)

Hola Karmico.

Desde mi punto de vista, la "cosa" funcionaría de forma parecida a como
gestionas los archivos.

El enlace a la imagen sería a una página intermedia ASP:

<img src="imagen.asp?img=nombreimagen&ext=extension">

...a la que se pasarían los parámetros con el nombre de la imagen a
mostrar: en el parámetro "img" se pasa el nombre de la imagen y en el
parámetro "ext" la extensión de dicha imagen (por ejemplo, para la
imagen "coche.gif" nos quedaría "img=coche&ext=gif").

La página imagen.asp verificaría los permisos del usuario y serviría la
imagen pedida de esta manera:

<%
Dim objStream, FSOPath, marca, imagen, typeRecurso
Set objStream = Server.CreateObject("ADODB.Stream")
FSOPath = Server.MapPath("")
marca = InStrRev(FSOPath, "")
imagen = Request.QueryString("img") & "." &_
Request.QueryString("ext")
FSOPath = Left(FSOPath, marca) & "datosprivados" & imagen
objStream.Open
objStream.Type = 1
objStream.LoadFromFile FSOPath
Select Case Request.QueryString("ext")
Case "gif": typeRecurso = "image/gif"
Case "jpg": typeRecurso = "image/jpeg"
Case "jpeg": typeRecurso = "image/jpeg"
Case "png": typeRecurso = "image/x-png"
End Select
Response.ContentType = typeRecurso
Response.BinaryWrite objStream.Read
Response.Flush
objStream.Close
Set objStream = Nothing
%>

Saludos!
Miguel


Karmico escribió:
> Hola Miguel!
> Veamos como te he dicho, con los ficheros me va la solución
> perfectamente.
> Pero además, ahi imágenes que los usuarios no autentificados por asp (es
> decir que no han echo LOGIN en un script orquestado por mi) no tendrían que
> ver.
>
> mi web está en el servidor asi
>
> la carpeta es la raíz del web www.web.com apuntaría ahi
> c:servidorwebclientesclienteweb
>
> puse las carpetas abajo, fuera del raiz, así
> c:servidorwebclientesclientedatosprivados
>
> y de esa manera, accedo a los archivos a traves de un asp que me da

> para descargarlo o no... hasta ahi todo bien.
>
> Que pasa? que en "datosprivados" tambien tengo imágenes jpg y gif.
>
> Entonces... sí yo en www.web.com (c:servidorwebclientesclienteweb)
> quiero mostrar en un area donde se han autentificado, una imagen que está

> c:servidorwebclientesclientedatosprivados como la linko?
>
> www.web.com/../datosprivados/imagen.jpg no sería correcto verdad?
>
> No se si me entiendes y no se sí tiene solucion esto gracias por tu
> ayuda!
>
>
>
>
> "Miguel Gonzalez" escribió en el mensaje
> news:
> Hola Karmico.
>
> Perdona, pero no acabo de entender el problema...
>
> Si las imágenes están en un directorio bajo la raiz del sitio web
> bastaría con indicarlo así en el "src" del elemento <img>:
>
> <img src="imagenes/myimage.gif">
>
> Estas imágenes sería visibles para todos los visitantes de la web.
>
> Ahora bien, si lo que quieres es restringir el acceso libre a las
> imágenes tendrás que operar de forma parecida a como hiciste con los
> archivos: situarlas en una carpeta fuera de la raíz de la web y
> servirlas dinámicamente mediante una rutina ASP que compruebe los
> derechos de acceso del usuario, seleccione la imagen del servidor y la
> envíe al usuario.
>
> Ten en cuenta que esta práctica puede llegar a consumir muchos recursos
> del servidor, por lo que sólo se recomendaría su uso para determinadas
> imágenes cuyo acceso no debiera ser público.
>
> Si no es esto, intenta explicarlo de nuevo, a ver si no estoy tan
> espeso... :-o
>
> Saludos!
> Miguel
>
>
>
>
> Si n
>
> Karmico escribió:
>
>>Hola de nuevo,
>>
>>"Creo que la solución pasa por sacar las carpetas de usuario fuera de la
>>raíz del servidor web."
>>me quedé con la solución de Miguel de dejar fuera del directorio web las
>>carpetas de los archivos.
>>
>>Respecto a los ficheros, no hay problema me ha funcionado muy bien.
>>
>>Ahora el tema está en mostrar las imagenes en la web, que sí no se
>>autentificaron por ASP no podrán ver, pero como puedo mostrarlas cuando
>>tenga que mostrarlas sí estan bajo la raíz de la web?
>>
>>Gracias Miguel por todo y a cualquiera que me pueda ayudar,
>>
>>Saludos
>>
>>"Miguel Gonzalez" escribió en el mensaje
>>news:
>>Hola Karmico.
>>
>>El IIS por sí solo no permite crear o gestionar usuarios. Todo lo más,
>>permite indicar la cuenta del
>>usuario de acceso anónimo y activar la autenticación integrada con los
>>usuarios del dominio Windows.
>>En ese caso, deberías activar dicha autenticación, crear cuentas para
>
> todos
>
>>los usuarios que tengan
>>acceso al servidor, bien desde el administrador de usuarios (WinNt), bien
>>desde el Directorio Activo
>>(Win2000 Server, o Win2003 Server). Luego, desde el explorador de
>
> archivos,
>
>>cabe asignar a los
>>directorios y archivos los permisos de usuario y nivel de acceso
>>correspondientes. El único problema
>>es que para ello tienes que tener control del servidor web. Si no lo
>
> tienes,
>
>>entonces sólo cabe
>>montar un sistema como el que te sugería en el enlace de asptutor.com
>>
>>Saludos!
>>Miguel
>>
>>
>>Karmico escribió:
>>
>>
>>>Gracias Miguel! Me está sirviendo de mucho tu ayuda.
>>>
>>>respecto a la cuestión 2, no es eso lo que queria, me refiero a que por
>>>ejemplo yo en IIS creara un usuario generico con permisos para esas
>>>carpetas.
>>>
>>>Entonces, cuando me logee correctamente por script el usuario,
>>>autentificarlo en IIS como ese usuario genérico, para que pueda tomar esos
>>>permisos.
>>>
>>>Alguna idea?? Gracias a todos!
>>>
>>>
>>>"Miguel Gonzalez" escribió en el mensaje
>>>news:#
>>>Hola Karmico.
>>>
>>>Sobre la cuestion 1:
>>>
>>>el enlace al archivo contendría una referencia del tipo:
>>>
>>>http://www.tuserver.com/archivo.asp?id#
>>>
>>>...Y la página ASP buscaría el archivo de referencia "23" para servirlo
>>>al usuario (previa comprobación de los derechos de acceso).
>>>
>>>Para ello necesitas algún tipo de sistema que almacene los datos de los
>>>archivos subidos, su ubicación y los usuarios que pueden consultarlos.
>>>Por ejemplo, en una(s) tabla(s).
>>>
>>>El esquema de directorios sería algo así (todo lo que está en la
>>>carpeta_usuarios es invisible desde internet a no ser que pase por la
>>>página "archivo.asp"):
>>>
>>>carpeta_usuarios
>>>carpeta_user_1
>>>archivo23.txt
>>>carpeta_user_2
>>>carpeta_user_n
>>>
>>>carpeta_rootweb
>>>archivo.asp
>>>
>>>La direccion "http://www.tuserver.com" apunta directamente a
>>>"carpeta_rootweb".
>>>
>>>Sobre la cuestion 2, puedes consultar este ejemplo sencillo:
>>>
>>>http://www.asptutor.com/asp/vart.asp?idP
>>>
>>>Saludos!
>>>Miguel
>>>
>>>
>>>Karmico escribió:
>>>
>>>
>>>
>>>>Uhmm Gracias Miguel, pero sí los usuarios quieren descargar un fichero de
>>>>esa carpeta, como se linkaria??
>>>>
>>>>www.raizdelcliente.com apuntaria a mi
>>>>c:/inetpub/wwwroot/clientes/raizdelcliente
>>>>
>>>>en raiz del cliente tendriamos
>>>>
>>>>usuarios/nombredeusuario/archivo.txt
>>>>
>>>>enlazo así
>>>>
>>>>www.raizdelcliente.com/usuarios/nombredeusuario/archivo.txt
>>>>
>>>>donde debería de enlazar?
>>>>
>>>>Cuestion 2º.
>>>>
>>>>Existe algún tipo de archivo de autenticación que podría crear
>>>
>>>dinamicamente
>>>
>>>
>>>
>>>>con un usuario y clave que autentifique en el servidor en cada carpeta?
>>>>Saben algo sobre permisos de usuarios gestionados dinamicamente por ASP?
>>>>
>>>>Gracias a todos!
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>no lo
>>>>"Miguel Gonzalez" escribió en el mensaje
>>>>news:
>>>>Hola Karmico.
>>>>
>>>>Creo que la solución pasa por sacar las carpetas de usuario fuera de la
>>>
>>>raíz
>>>
>>>
>>>
>>>>del servidor web.
>>>>
>>>>Las operaciones de escritura y lectura de los archivos contenidos en
>>>
>>>dichas
>>>
>>>
>>>
>>>>carpetas cabe
>>>>realizarlas mediante una página en ASP que sirva de intermediaria y que
>>>>valide si el usuario tiene
>>>>derecho a dejar o leer los archivos.
>>>>
>>>>Para acceder desde ASP a las carpetas fuera de la raíz cabe utilizar
>>>>"Server.MapPath()".
>>>>
>>>>Saludos!
>>>>Miguel
>>>>
>>>>Karmico escribió:
>>>>
>>>>
>>>>
>>>>
>>>>>Hola a todos,
>>>>>
>>>>>Estoy terminando una aplicación web donde usuarios unicamente por
>
> scripts
>
>>>>>asp, tienen acceso a su carpeta en el servidor, donde pueden guardar
>>>>>ficheros, etc etc
>>>>>Pero tengo un problema, sí alguien con un webcopier analizara la web,
>>>>
>>>>podría
>>>>
>>>>
>>>>
>>>>
>>>>>extraer el contenido de cada carpeta de usuario del servidor y
>>>>>descargarla
>>>>>
>>>>>Se les ocurre alguna idea para solventar este problema de seguridad?
>>>>>Gracias.
>>>>>
>>>>>
>>>>
>>>>
>>>>
>>
>>
>
>

Hola Karmico o Miguel:
me podrian dar una idea de como escribir el codigo asp para permitir que
se suban archivos a una carpeta del servidor...pero sin usar componentes.

Porfa. Les agradezco de antemano.



Miguel Gonzalez wrote:

Hola Karmico.

Desde mi punto de vista, la "cosa" funcionaría de forma parecida a como
gestionas los archivos.

El enlace a la imagen sería a una página intermedia ASP:

<img src="imagen.asp?img=nombreimagen&ext=extension">

...a la que se pasarían los parámetros con el nombre de la imagen a
mostrar: en el parámetro "img" se pasa el nombre de la imagen y en el
parámetro "ext" la extensión de dicha imagen (por ejemplo, para la
imagen "coche.gif" nos quedaría "img=coche&ext=gif").

La página imagen.asp verificaría los permisos del usuario y serviría la
imagen pedida de esta manera:

<%
Dim objStream, FSOPath, marca, imagen, typeRecurso
Set objStream = Server.CreateObject("ADODB.Stream")
FSOPath = Server.MapPath("")
marca = InStrRev(FSOPath, "")
imagen = Request.QueryString("img") & "." &_
Request.QueryString("ext")
FSOPath = Left(FSOPath, marca) & "datosprivados" & imagen
objStream.Open
objStream.Type = 1
objStream.LoadFromFile FSOPath
Select Case Request.QueryString("ext")
Case "gif": typeRecurso = "image/gif"
Case "jpg": typeRecurso = "image/jpeg"
Case "jpeg": typeRecurso = "image/jpeg"
Case "png": typeRecurso = "image/x-png"
End Select
Response.ContentType = typeRecurso
Response.BinaryWrite objStream.Read
Response.Flush
objStream.Close
Set objStream = Nothing
%>

Saludos!
Miguel

Karmico escribió:
> Hola Miguel!
> Veamos como te he dicho, con los ficheros me va la solución
> perfectamente.
> Pero además, ahi imágenes que los usuarios no autentificados por asp
> (es
> decir que no han echo LOGIN en un script orquestado por mi) no tendrían
> que
> ver.
>
> mi web está en el servidor asi
>
> la carpeta es la raíz del web www.web.com apuntaría ahi
> c:servidorwebclientesclienteweb
>
> puse las carpetas abajo, fuera del raiz, así
> c:servidorwebclientesclientedatosprivados
>
> y de esa manera, accedo a los archivos a traves de un asp que me da

permisos

> para descargarlo o no... hasta ahi todo bien.
>
> Que pasa? que en "datosprivados" tambien tengo imágenes jpg y gif.
>
> Entonces... sí yo en www.web.com (c:servidorwebclientesclienteweb)
> quiero mostrar en un area donde se han autentificado, una imagen que
> está

en

> c:servidorwebclientesclientedatosprivados como la linko?
>
> www.web.com/../datosprivados/imagen.jpg no sería correcto verdad?
>
> No se si me entiendes y no se sí tiene solucion esto gracias
> por tu
> ayuda!
>
>
>
>
> "Miguel Gonzalez" escribió en el mensaje
> news:
> Hola Karmico.
>
> Perdona, pero no acabo de entender el problema...
>
> Si las imágenes están en un directorio bajo la raiz del sitio web
> bastaría con indicarlo así en el "src" del elemento <img>:
>
> <img src="imagenes/myimage.gif">
>
> Estas imágenes sería visibles para todos los visitantes de la web.
>
> Ahora bien, si lo que quieres es restringir el acceso libre a las
> imágenes tendrás que operar de forma parecida a como hiciste con los
> archivos: situarlas en una carpeta fuera de la raíz de la web y
> servirlas dinámicamente mediante una rutina ASP que compruebe los
> derechos de acceso del usuario, seleccione la imagen del servidor y la
> envíe al usuario.
>
> Ten en cuenta que esta práctica puede llegar a consumir muchos recursos
> del servidor, por lo que sólo se recomendaría su uso para determinadas
> imágenes cuyo acceso no debiera ser público.
>
> Si no es esto, intenta explicarlo de nuevo, a ver si no estoy tan
> espeso... :-o
>
> Saludos!
> Miguel
>
>
>
>
> Si n
>
> Karmico escribió:
>
>>Hola de nuevo,
>>
>>"Creo que la solución pasa por sacar las carpetas de usuario fuera de
>>la
>>raíz del servidor web."
>>me quedé con la solución de Miguel de dejar fuera del directorio web
>>las
>>carpetas de los archivos.
>>
>>Respecto a los ficheros, no hay problema me ha funcionado muy bien.
>>
>>Ahora el tema está en mostrar las imagenes en la web, que sí no se
>>autentificaron por ASP no podrán ver, pero como puedo mostrarlas cuando
>>tenga que mostrarlas sí estan bajo la raíz de la web?
>>
>>Gracias Miguel por todo y a cualquiera que me pueda ayudar,
>>
>>Saludos
>>
>>"Miguel Gonzalez" escribió en el mensaje
>>news:
>>Hola Karmico.
>>
>>El IIS por sí solo no permite crear o gestionar usuarios. Todo lo más,
>>permite indicar la cuenta del
>>usuario de acceso anónimo y activar la autenticación integrada con los
>>usuarios del dominio Windows.
>>En ese caso, deberías activar dicha autenticación, crear cuentas para
>
> todos
>
>>los usuarios que tengan
>>acceso al servidor, bien desde el administrador de usuarios (WinNt),
>>bien
>>desde el Directorio Activo
>>(Win2000 Server, o Win2003 Server). Luego, desde el explorador de
>
> archivos,
>
>>cabe asignar a los
>>directorios y archivos los permisos de usuario y nivel de acceso
>>correspondientes. El único problema
>>es que para ello tienes que tener control del servidor web. Si no lo
>
> tienes,
>
>>entonces sólo cabe
>>montar un sistema como el que te sugería en el enlace de asptutor.com
>>
>>Saludos!
>>Miguel
>>
>>
>>Karmico escribió:
>>
>>
>>>Gracias Miguel! Me está sirviendo de mucho tu ayuda.
>>>
>>>respecto a la cuestión 2, no es eso lo que queria, me refiero a que
>>>por
>>>ejemplo yo en IIS creara un usuario generico con permisos para esas
>>>carpetas.
>>>
>>>Entonces, cuando me logee correctamente por script el usuario,
>>>autentificarlo en IIS como ese usuario genérico, para que pueda tomar
>>>esos
>>>permisos.
>>>
>>>Alguna idea?? Gracias a todos!
>>>
>>>
>>>"Miguel Gonzalez" escribió en el mensaje
>>>news:#
>>>Hola Karmico.
>>>
>>>Sobre la cuestion 1:
>>>
>>>el enlace al archivo contendría una referencia del tipo:
>>>
>>>http://www.tuserver.com/archivo.asp?id#
>>>
>>>...Y la página ASP buscaría el archivo de referencia "23" para
>>>servirlo
>>>al usuario (previa comprobación de los derechos de acceso).
>>>
>>>Para ello necesitas algún tipo de sistema que almacene los datos de
>>>los
>>>archivos subidos, su ubicación y los usuarios que pueden consultarlos.
>>>Por ejemplo, en una(s) tabla(s).
>>>
>>>El esquema de directorios sería algo así (todo lo que está en la
>>>carpeta_usuarios es invisible desde internet a no ser que pase por la
>>>página "archivo.asp"):
>>>
>>>carpeta_usuarios
>>>carpeta_user_1
>>>archivo23.txt
>>>carpeta_user_2
>>>carpeta_user_n
>>>
>>>carpeta_rootweb
>>>archivo.asp
>>>
>>>La direccion "http://www.tuserver.com" apunta directamente a
>>>"carpeta_rootweb".
>>>
>>>Sobre la cuestion 2, puedes consultar este ejemplo sencillo:
>>>
>>>http://www.asptutor.com/asp/vart.asp?idP
>>>
>>>Saludos!
>>>Miguel
>>>
>>>
>>>Karmico escribió:
>>>
>>>
>>>
>>>>Uhmm Gracias Miguel, pero sí los usuarios quieren descargar un
>>>>fichero de
>>>>esa carpeta, como se linkaria??
>>>>
>>>>www.raizdelcliente.com apuntaria a mi
>>>>c:/inetpub/wwwroot/clientes/raizdelcliente
>>>>
>>>>en raiz del cliente tendriamos
>>>>
>>>>usuarios/nombredeusuario/archivo.txt
>>>>
>>>>enlazo así
>>>>
>>>>www.raizdelcliente.com/usuarios/nombredeusuario/archivo.txt
>>>>
>>>>donde debería de enlazar?
>>>>
>>>>Cuestion 2º.
>>>>
>>>>Existe algún tipo de archivo de autenticación que podría crear
>>>
>>>dinamicamente
>>>
>>>
>>>
>>>>con un usuario y clave que autentifique en el servidor en cada
>>>>carpeta?
>>>>Saben algo sobre permisos de usuarios gestionados dinamicamente por
>>>>ASP?
>>>>
>>>>Gracias a todos!
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>no lo
>>>>"Miguel Gonzalez" escribió en el mensaje
>>>>news:
>>>>Hola Karmico.
>>>>
>>>>Creo que la solución pasa por sacar las carpetas de usuario fuera de
>>>>la
>>>
>>>raíz
>>>
>>>
>>>
>>>>del servidor web.
>>>>
>>>>Las operaciones de escritura y lectura de los archivos contenidos en
>>>
>>>dichas
>>>
>>>
>>>
>>>>carpetas cabe
>>>>realizarlas mediante una página en ASP que sirva de intermediaria y
>>>>que
>>>>valide si el usuario tiene
>>>>derecho a dejar o leer los archivos.
>>>>
>>>>Para acceder desde ASP a las carpetas fuera de la raíz cabe utilizar
>>>>"Server.MapPath()".
>>>>
>>>>Saludos!
>>>>Miguel
>>>>
>>>>Karmico escribió:
>>>>
>>>>
>>>>
>>>>
>>>>>Hola a todos,
>>>>>
>>>>>Estoy terminando una aplicación web donde usuarios unicamente por
>
> scripts
>
>>>>>asp, tienen acceso a su carpeta en el servidor, donde pueden guardar
>>>>>ficheros, etc etc
>>>>>Pero tengo un problema, sí alguien con un webcopier analizara la
>>>>>web,
>>>>
>>>>podría
>>>>
>>>>
>>>>
>>>>
>>>>>extraer el contenido de cada carpeta de usuario del servidor y
>>>>>descargarla
>>>>>
>>>>>Se les ocurre alguna idea para solventar este problema de seguridad?
>>>>>Gracias.
>>>>>
>>>>>
>>>>
>>>>
>>>>
>>
>>
>
>