Dateitypen beim Dateiupload (Webserver Sicherheit)

[hscheffknecht]

Hallo @ll

Damit auch ich mal meine Jungfräulichkeit verliere (das ist das erste Mal, dass ich hier poste) mal eine Frage:

Ich benutze IIS und habe ein Projekt, auf dem man alle möglichen Dateien hinauf laden kann. Ich habe im uploadverzeichnis aus sicherheitsgründen die Ausführungsberechtigungen vom Uploadverzeichnis auf keine eingestellt, damit niemand ASP's uploaden und auführen kann.
Aber wie sicher ist nun diese Einstellung? Kann man nicht doch noch irgendwas uploaden und ausführen? Welche Dateien ausser ASP könnten noch gefährlich werden, wenn ich diese berechtigung nicht ausgeschaltet hätte? (Ich habe kein .net)

lg Herbert

 

[Arne Buchwald]

Ich würde den direkten Zugriff (vom Browser aus) auf das Verzeichnis komplett verbieten und die Dateien nur per Script herunterladen lassen. Das sollte das sicherste sein.

 

[hscheffknecht]

Danke für deine Hilfe

nur per Script herunterladen lassen

Das habe ich noch nie gemacht. Wie geht das? Hast du ein Beispiel Script, an dem ich mich orientieren kann? Kann man es irgendwie machen, dass es alle Dateien einfach nur herunter lädt, egal was für Dateiendung?

 

[Arne Buchwald]

Guck' dir einfach ein Downloadscript an und passe es an deine Bedürfnisse an.

Link s. Suche -> hotscripts

 

[hscheffknecht]

Problem gelöst

Problem gelöst!

Danke für deine Hilfe.
Für alle andere, die das selbe Problem haben, sollten auf dieser Adresse vorbei schauen:
http://www.aspfaq.de/index.asp?RID=5&FID=88&SFI=1&ELE=7663&OPID=0&ORID=0&OSST=download&OSFI=1