Impedire l'accesso diretto ad un file o una cartella
Attraverso un corretto settaggio di IIS (Internet Information Services) e senza l'utilizzo di complesse DLL o di soffisticati codici di script, possiamo proteggere un file o un'intera cartella dall'accesso diretto, evitando quindi che uno o più files vengano scaricati mediante la semplice digitazione della URL.
Un esempio tipico in cui può essere necessario fare ricorso a simili precauzioni è il caso in cui il nostro sito utilizzi dei database di MS Access (file con estensione .mdb) e si voglia impedirne l'accesso diretto (circostanza piuttosto sconveniente).
Facciamo un esempio. Creiamo sul nostro localhost la cartella "test" ed al suo interno il file "documento-riservato.txt" che riempiremo con un qualsiasi contenuto testuale. Ora accediamo al file attraverso il browser all'indirizzo:
http://localhost/documento-riservato.txtIl risultato conseguente alla digitazione della URL sarà, nel nostro caso, la visualizzazione del contenuto del file stesso.
Per inibire questa possibilità è necessario agire direttamente su IIS.
Accediamo al pannello di amministrazione: si clicchi il tasto destro su Risorse del computer e si scelga la voce Gestione. Dalla finestra Gestione computer si selezioni la voce Servizi e applicazioni e poi Internet Information Services.
Sfogliamo la nostra root locale e selezioniamo la nostra cartella "test".
A questo punto è possibile (attraverso un semplice click sulla voce Proprità raggiungibile attraverso il tasto destro del mouse) gestire le regole di accesso all'intera cartella oppure a singoli files presenti al suo interno.
Nel nostro esempio ci limiteremo ad un singolo file.
Si clicchi, dunque, il tasto destro sul file "documento-riservato.txt" e si selezioni la voce Proprietà e poi la scheda Directory che, in genere, appare per default.
All'interno di questa scheda appariranno le sguenti opzioni:
Accesso origine script Lettura Scrittura Registrazione visiteAl fine di prevenire accessi diretti è indispensabile deselezionare la voce Lettura, ma il mio consiglio è inibire tutti i permessi!
I permessi di Scrittura, infatti, portano sempre evidenti rischi per la sicurezza di un sistema, mentre l'opzione Accesso origine script se attivata permetterebbe agli utenti di accedere al codice sorgente dei vostri script (ad esempio file .asp o .aspx) con evidenti pericoli per la privacy e la sicurezza del vostro sito. Il permesso di Registrazione Visite, infine, appare superfluo stante la non raggiungibilità del file o della cartella in questione.
Segue un'anteprima dell'operazione effettuata:
http://localhost/documento-riservato.txtIl file è stato protetto dal download in quanto è stato inibito il permesso di Lettura.
Le altre voci che abbiamo deselezionato, come già detto, hanno una rilevanza secondaria circa i fini proposti in questo articolo, tuttavia è buona norma settare come indicato onde evitare altre problematiche.
Se l'operazione non dovesse andare a buon fine riprovare o eventualmente riavviare il server.
