Discussion :

[Immobilis]

Bonjour,

J'ai une base access sur mon site internet. Comment faire pour que l'utilisateur internet puisse la modifier par l'intermediaire de pages ASP, mais ne puisse pas la télécharger en tapant le chemin en dur (http://www.monsite.com/mondossier/mabase.mdb)?

Merci

[fredoche]

en ne la stockant pas dans un répertoire servi par ton serveur web.
Cela inclue la racine type inetpub/wwwroot et tous les sous-dossiers, mais aussi les répertoires virtuels que tu pourrais créer.
Pour la modifier, tu popurras l'accéder n'importe où sur ton FS et même en réseau

[Immobilis]

OK.

Mettons maintenant que j'autorise les internautes à télécharger des fichiers depuis mon site web. Si je les copie en dehors de mon site, il devriendront inaccessibles via un lien hypertext. Non?

Merci

[ryan]

Toutafé!

Mais si ces fichiers doivent pouvoir être téléchargés, pourquoi vouloir en empécher l'accè? Ch'comprends pus...bon, je fais me refaire une tasse de café.

Yan
Protéger la nature, écrasez un chasseur!

[Immobilis]

En fait, il s'agit sourtout de sécurité. Ces documents sont assez confidentiels. Tout le monde ne doit pas avoir accès à n'importe quels fichiers. Même si il faut connaître les noms exactes pour pouvoir y accéder, c'est une faille. L'accès est limité par la gestion de la sécurité du systeme (W2K), mais avec un aspirateur de site et du system D, on pourrait les récupérer.

[ryan]

Yop!


Avec un aspirateur de site, c'est pas dit. Je crois qu'ils ont besoin d'un hyperlien pointant vers la ressource pour pouvoir l'aspirer. Peut-être aussi peuvent-ils aspirer en suivant l'action d'un formulaire...à voir.

D'autre part, il est exact que si la ressource est sous la racine, elle est accessible en tapant le chemin dans le navigateur, mais en théorie seulement. Car en pratique certains hébergeurs inhibent le téléchargement de certains types de fichier pour des raissons de sécurité justement. J'ai eu le cas dernièrement: je voulais que l'administrateur d'un site puisse télécharger des fichiers Access qui étaient des back-up d'une base SQLServer. J'ai du renommer la base Access en txt pour que ce soit possible car le téléchargement d'un mdb n'est pas autorisé (file not found).

Bon, ceci dit, il doit y avoir une solution à ton pb.
Il doit être possible de stocker les fichiers sensibles au-dessus de la racine et de les recopier dans un répertoire de transit sous la racine si un utilisateur autorisé veut les télécharger, puis de les effacer de ce répertoire de transit après téléchargement. Si l'invité anonyme a les droits d'écriture dans le répertoire de transit, ce doit être faisable.

Yan
Je piquerais bien un petit somme, mais à qui?

[fredoche]

soit plus clair sur ce que tu veux faire :
- veux tu que certains utilisateurs du site puissent télécharger cette base alors que d'autres non ?
- veux tu modifier et afficher les données d'une base via ASP sans que les usagers du site puissent accéder à cette base ?

[Immobilis]

- l'accès à la base se fait par internet au moyen d'une appli ASP. Même si le fichier se trouve en dehors du site, cela ne pose pas de pb à ASP et SQL pour accéder aux données.
- Cette base gère des fichiers (entre autres choses) dont les liens sont enregistrés dans une table. Ces fichiers doivent se trouver dans le site (qq part) pour qu'on puisse éventuellement y accéder par internet (ss contrôle de la base, par un lien hypertexte). Cependant, si ils résident dans le site ils peuvent être lus/telechargés sans avoir à passer par l'appli.

C'est plus clair?

[fredoche]

C'est plus clair?

oui

Cependant, si ils résident dans le site ils peuvent être lus/telechargés sans avoir à passer par l'appli.

oui
mais tu peux jeter un oeil là dessus. Ca te permet de déclencher le téléchargement vers un browser pour n'importe quel fichier de ton système (sous la racine web ou non) :
http://www.aspsmart.com/aspSmartUplo...m#DownloadFile
tu as l'équivalent avec aspupload

[Immobilis]

Merci bien.

8)

[Immobilis]

Bon,

J'ai mis ma base en dehors du site. Sur mon PC en W2K, en local comme en réseau ça marche. Je peux accéder à mon appli. Sur un autre PC en Win 2003 par contre, je reçois un message d'erreur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
Microsoft OLE DB Provider for ODBC Drivers error '80004005' 
 
[Microsoft][ODBC Microsoft Access Driver]General error Unable to open registry key 'Temporary (volatile) Jet DSN for process 0xdd4 Thread 0xe34 DBC 0x1409024 Jet'. 
 
/inc/connect.inc, line 10

qqn a-t-il une idée. C'est assez urgent... Désolé.

[Immobilis]

Qd je déplace ma base de données de nouveau dans le site, j'ai de nouveau accès aux données... Mais la sécurité que je souhaitais mettre en place est moins efficace.

[fredoche]

Qd je déplace ma base de données de nouveau dans le site, j'ai de nouveau accès aux données... Mais la sécurité que je souhaitais mettre en place est moins efficace.

Le message d'erreur serait lié à l'emplacement de ta base... c'est plutot étonnant non ?
Ce serait pas plutot un problème de droits si tu as ce message hors de la racine Web ?

[Immobilis]

C'est très bizarre. En plus, sur la station en 2003 server, je reçois le message suivant (qd la base est de nouveau dans le site):

Server.MapPath() error 'ASP 0175 : 80004005'
Disallowed Path Characters

/contractinfos.asp, line 249

The '..' characters are not allowed in the Path parameter for the MapPath method.

Alors que ça marche très bien sur ma station en w2000. Je me sers de MapPath pour aller rechercher des fichiers en dehors de mon site à downloader à l'aide d'AspSmartUpload.

[Immobilis]

J'ai trouvé ça sur MSND:

AspEnableParentPaths
The AspEnableParentPaths property specifies whether an ASP page allows paths relative to the current directory (using the ..\ notation) or above the current directory. If set to true, this property constitutes a potential security risk, because an include path could access critical or sensitive data files outside the root directory of the application if strong ACLs are not set on those files.

IIS 6.0 and later: To increase security, parent paths are disabled by default. This can potentially break upgraded Web sites that use the ..\ notation or include files from parent directories.

Il faut maintenant que je trouve comment désactiver cette option. Je crois que ce pb va souvent se poser au fur et à mesure que les serveurs vont passer en 2003.
Si qqn trouve avant moi c'est super.

A suivre.

[Immobilis]

J'ai trouvé:

1. Open the Internet Service Manager in the Microsoft Management Console.
2. Right-click on the Web server in question.
3. Select Properties on the pop-up menu.
4. Click the Home Directory tab.
5. Select Configuration in the Application Settings box.
6. Click the App Options tab.
7. Clear the Enable Parent Paths option.
8. Click OK twice to return to the Microsoft Management Console.

Ca marche.
8)