Paolo Pialorsi

SOA, Workflow Foundation (WF), Windows Communication Foundation (WCF) e le Architetture Distribuite

App_Offline.htm ... siamo sicuri che sia bello?

ScottGu in questo post spiega che se salviamo nella root di un'applicazione web ASP.NET 2.0 un file di nome App_Offline.htm la nostra applicazione farà shutdown, scaricherà l'appDomain e inizierà a rispondere a tutte le richieste inviando questo file anziché la pagina realmente richiesta dall'utente. Tutto questo finché il file non sarà cancellato, spostato o rinominato.

Io non la trovo una "bella feature" perché se in qualche modo qualcuno che vuole fare hacking del nostro server riesce a eseguire l'upload di un file con quel nome, questa "feature" diventa uno strumento di denial of service.

Non mi convince ....

Posted: ott 09 2005, 11.53 by paolo | with 2 comment(s)
Filed under:

Comments

Lorenzo said:

Probabilmente qualsiasi altro strumento soffrirebbe dello stesso problema.
Questo forse ancora di più per il fatto che molto spesso si ha la necessità di fare upload sul server, e se si sbaglia qualcosa si è fregati molto più facilmente...

Non convince neanche me... ;-)
# ottobre 10, 2005 10.05

alessandro said:

Sono d'accordo con paolo e lorenzo, anche se bisogna dire che se è possibile uploadare in root qualche falluccia c'è... non capisco perchè semplicemente non si sia pensato a una direttiva nel web.config (forse per scaricare del tutto asp.net?), spero che nella nuova versione di IIS sia una modalita del web site, come attualmente è lo stop.
# ottobre 11, 2005 6.22