Seguridad en carpetas del servidos vs campo BLOB

PosProdukcion · #1 (**permalink**) 25/03/2009, 10:50

Hola, tengo algunos documentos e imágenes en mi web que quiero hacer accesibles solo a ciertos usuarios, se que lo más seguro es meterlos en un campo BLOB de la BD, pero esto ocupa espacio y en el hosting cobran por cada 20MB extra de la BD.

¿Hay otras soluciones? ¿Se puede hacer de alguna forma una carpeta protegida pero que no pida contraseña al acceder a ella si el usuario ya se ha logado en la aplicación? ¿Tal vez alguna utilidad ASP (no DLL) para encriptar fotos y documentos?

Gracias

Myakire · #2 (**permalink**) 25/03/2009, 16:37

Bueno, lo de las imagenes queda claro, no solo por el dinero sino por que la esencia de las tablas no es como repositorios de archivos

Lo de las carpetas pues es bastante seguro, colocas tu carpeta fuera de la raíz de tu servidor y tu haces las redirecciones a los archivos que quieras descargar desde ASP, no se como sea exactamente lo que ocupas pero una idea básica es tener un archivo ASP que descargue cualquier tipo de documento, tu le mandas un parámetro a esa página y buscas el archivo correspondiente en alguna tabla. O puedes implementarte alguna otra mecánica de seguridad.

Saludos

Muzztein · #3 (**permalink**) 26/03/2009, 06:44

Buena idea la de my akire

para continuar su idea, podrias hacer esto

Ponés en un archivo llamado foto.asp

la siguiente insturccion

Código asp:

Ver original<%
if session("logged") = true then 
response.redirect("poner ruta aca de la foto en direcotrio fuera de la carpeta  www")
else
'alguna otra cosa
end if
 
%>

luego cuango llamas a la imagen, colocas

Código PHP:

  <img src="foto.asp"/>

y voilá

PosProdukcion · #4 (**permalink**) 26/03/2009, 06:55

Saludos y gracias a los dos por la propuesta, pero me encuentro el siguiente problema:

Si el documento (en esta caso son PDF y JPG) está fuera de la raíz del servidor (entiendo que fuera de la carpeta html del hosting) tengo los siguientes problemas:

¿Como puedo hacer referencia a esa carpeta desde un script ASP? ¿Funcionará Server.Mappath("/") & "..\micarpeta\" & miarchivo?
El panel de control del hosting sólo me deja asignar permisos a carpetas dentro del servidor (subcarpetas de html), ¿como dar permisos de acceso (recuerda que es un script asp el que escribe y lee ese archivo) a esta carpeta de fuera?

Gracias

Myakire · #5 (**permalink**) 26/03/2009, 12:10

Bueno, salvo la mejor opinión de Muzztein lo de la carpeta fuera del servidor es para asegurarse que alguien que se sepa la ruta no pueda brincarse la aplicación, no es indispensable si implementas un archivo "genérico" ya que la ruta no saldría en la barra de direcciónes, pero por mayor seguridad mejor pregúntale a tu host si tienes la posibilidad de colocar archivos fuera, lo del doble punto para hacer referencia rutas relativas, casi seguro que lo han deshabilitado.

El punto dos, si tienes que trabajar con tu carpeta dentro de raíz del sitio ya no aplica, la idea puediera ser algo como esto:

Código ASP:

Ver original<&#37;
...... validaciones de seguridad y todo eso
Response.Buffer = True
Dim strFilePath, strFileSize, strFileName
Const adTypeBinary = 1
 
vFile = Request.QueryString("Id")
 
..... buscas ese ID en alguna tabla 
 
strFilePath = rs("Path")
strFileSize = rs("Size")
strFileName = rs("FileName")
 
Response.Clear
 
Set objStream = Server.CreateObject("ADODB.Stream")
objStream.Open
objStream.Type = adTypeBinary
objStream.LoadFromFile strFilePath
strFileType = lcase(Right(strFileName, 4))
Select Case strFileType
  Case ".asf"
    ContentType = "video/x-ms-asf"
  Case ".avi"
    ContentType = "video/avi"
  Case ".txt"
    ContentType = "text/plain"
  Case ".doc"
    ContentType = "application/msword"
  Case ".zip"
    ContentType = "application/zip"
  Case ".xls"
    ContentType = "application/vnd.ms-excel"
  Case ".gif"
    ContentType = "image/gif"
  Case ".jpg", "jpeg"
    ContentType = "image/jpeg"
  Case ".wav"
    ContentType = "audio/wav"
  Case ".mp3"
    ContentType = "audio/mpeg3"
  Case ".mpg", "mpeg"
    ContentType = "video/mpeg"
  Case ".rtf"
    ContentType = "application/rtf"
  Case ".htm", "html"
    ContentType = "text/html"
  Case ".asp"
    ContentType = "text/asp"
  Case ".pdf"
    ContentType = "application/pdf"
  Case Else
    'Handle All Other Files
    ContentType = "application/octet-stream"
End Select
Response.AddHeader "Content-Disposition", "attachment; filename=" & strFileName
Response.AddHeader "Content-Length", strFileSize
Response.Charset = "UTF-8"
Response.ContentType = ContentType
Response.BinaryWrite objStream.Read
Response.Flush
objStream.Close
Set objStream = Nothing
%>

Saludos

PosProdukcion · #6 (**permalink**) 27/03/2009, 03:14

Claro!!

Puedo guardarlo dentro del servidor y para evitar que alguien que conozca la ruta* descargue el fichero, lo guardo con extensión ASP en lugar de PDF, y después lo descargo con tu función con ContentType = "application/pdf", perfecto!!!

eso sería perfectamente seguro ¿no? ya que al tener extensión ASP si se introdujera la url directamente intentaría interpretarlo en lugar de descargarlo, no?

* por ejemplo, si alguien le instala un spyware al usuario podría adivinar la ruta del pdf

Muchas gracias

Myakire · #7 (**permalink**) 27/03/2009, 08:01

No lo he hecho antes, pero cuestión de probar

Nos avisas como te va con eso .

PosProdukcion · #8 (**permalink**) 28/03/2009, 11:08

Pues funcionó perfecto, aquí va un resumen...

Genero el PDF y lo guardo en una ruta con extensión ASP en lugar de PDF:

Código asp:

Ver originalruta = "/informes/F" & destino & ".asp"
pdf.Save(ruta)

Para leer ese fichero utilizo una simplifaicación del código de Myakire (por legibilidad he quitado las comprobaciones de que el fichero existe, etc):

Código asp:

Ver originalResponse.Clear
 
Set objStream = Server.CreateObject("ADODB.Stream")
objStream.Open
objStream.Type = adTypeBinary
objStream.LoadFromFile Server.mappath("/informes/F" & [B]destino [/B]& ".asp")
            
Response.Clear
'*********************
'AL nombre del fichero le pongo extenison PDF en lugar de ASP para que
'el cambio de extension sea transparente al usuario
'*********************
Response.AddHeader "Content-Disposition", "attachment; filename="&destino &".pdf"
Response.Charset = "UTF-8"
Response.ContentType = "application/pdf"
Response.BinaryWrite objStream.Read
Response.Flush
objStream.Close

Si en el navegador intento meter directamente la ruta del fichero "/informes/F" & destino & ".asp" obtengo el siguiente error, por lo tanto nadie podrá acceder a ese informe directamente.

Cita:

Tipo de error:
Páginas Active Server, ASP 0116 (0x80004005)
El bloque Script no contiene la etiqueta de cierre de la secuencia de comandos (%>).
/informes/fichero.asp, línea 637

Perfecto

Myakire · #9 (**permalink**) 28/03/2009, 23:26

Me alegro que te haya funcionado la idea, la implementación parece ser que te quedó perfecta