La bonne utilisation de & lt; identity impersonate = "true" / & gt;

Dans mon Site web, les Utilisateurs ayant ouvert une session sont en mesure de modifier leurs photos de profil, et ce processus inclut le droit d'enregistrer l'image téléchargée dans un dossier sur le site du répertoire racine.

Quand je l'ai testé, j'ai reçu un message d'Erreur que je devrais accorder l'accès à ce dossier à l'aide des autorisations.

Je n'ai pas de contrôle sur le Panneau de Contrôle, celui qui ne dit qu'il n'accorder le Images un dossier LIRE et ÉCRIRE autorisations Autres.

Après un Essai, encore une fois la même erreur, j'ai donc édité web.config et inclus:

<identity impersonate="true"/>

Et maintenant tout semble fonctionner parfaitement. MAIS est-ce que je viens faire ici? Est-il un risque de sécurité? Ai-je accorder l'accès anonyme à mon site web pour tout le monde?

source d'informationauteur Ali Bassam

  1. 10

    MAIS est-ce que je viens faire ici?

    Vous êtes maintenant en cours d'exécution de votre site web, sous l'identité de l'utilisateur client.

    Est-il un risque de sécurité?

    En fonction des autorisations que ce compte a sur le serveur. Habituellement, il est une mauvaise pratique pour exécuter un site web avec des comptes qui ont beaucoup de privilèges. Idéalement, vous devez configurer votre site web pour s'exécuter sous un compte qui vous explicitement d'accorder des privilèges à l'dossiers requis.

    Le problème avec votre approche est que si un autre utilisateur qui n'a pas accès au dossier spécifié visites de votre site web, il ne fonctionnera pas pour lui. Si, en revanche, ce comportement est normal, alors vous êtes probablement pas un problème en usurpant l'identité de l'identité des utilisateurs.

    Ai-je accorder l'accès anonyme à mon site web pour tout le monde?

    Non, cela n'a rien à voir avec l'authentification.

  2. 2

    Ce que vous avez fait n'est donné les droits de l'utilisateur de travailler en vertu de l'utilisateur connecté.

    Et il y a un risque de sécurité pour faire usurper l'identité véritable.

    Si vous êtes sur la production, je vous recommande de lire cet article
    http://support.microsoft.com/default.aspx?scid=kb;en-us;329290

    "À l'aide de l'emprunt d'identité dans le web.config vous permet de redéfinir ce que l'identité a été configuré pour l'Application de la Piscine de l'application est en cours d'exécution en vertu de l' - c'est juste une plus fine de la méthode de contrôle d'identité ( sur l'app niveau et le pool d'applications de niveau), vous pouvez donc avoir deux applications s'exécutent sur le même pool d'applications, mais l'un d'eux utilise l'emprunt d'identité pour utiliser une autre identité."
    courtoisie: Le pool d'applications de l'identité versus identité d'emprunt?