ELMAH: ASP.NET-Sicherheit

Question

Ich habe eine ASP.NET 3.5-Anwendung, die den Visual Studio Development Server verwendet. Ich stelle ELMAH auf und es funktioniert gut. Ich habe die AXD „Datei“ und XML-Dateien (unter Verwendung von XML als Speichermedium) nach oben in einem Ordner unter der Wurzel zu sein:

v3/Elmah/

Nun, würde Ich mag es haben, so Wenn elmah oder elmah/elmah.axd (oder irgendetwas in diesem Verzeichnis) angefordert wird, wird ein Benutzername/Passwort-Dialog angezeigt. Gerade jetzt, ich habe dies in der web.config:

, die alle authentifizierten Benutzer wird ermöglicht, glaube ich. Ich habe versucht, den anonymen Zugriff auf dieses Verzeichnis zu deaktivieren, aber die Datei wird weiterhin bereitgestellt. Gibt es etwas, das ich in der Sicherheit des Dateisystems ändern muss?

BTW, das ist XP SP3.

Vielen Dank!

Answer 1

Haben Sie so etwas zu Ihrer web.config hinzugefügt?

<location path="admin/elmah.axd"> 
    <system.web> 
     <authorization> 
     <allow roles="Admin"/> 
     <deny users="*"/> 
     </authorization> 
    </system.web> 
    </location> 

Für die ELMAH-Abschnittsknoten in der Datei web.config ist auch ein Attribut requirePermission verfügbar.

<sectionGroup name="elmah"> 
    <section name="security" requirePermission="true" type="Elmah.SecuritySectionHandler, Elmah" /> 
    <section name="errorLog" requirePermission="true" type="Elmah.ErrorLogSectionHandler, Elmah" /> 
    <section name="errorMail" requirePermission="true" type="Elmah.ErrorMailSectionHandler, Elmah" /> 
    <section name="errorFilter" requirePermission="true" type="Elmah.ErrorFilterSectionHandler, Elmah" /> 
</sectionGroup> 

-Update ein Chaos in den Kommentaren zu vermeiden:

In meinem web.config verwende ich so etwas wie:

<authentication mode="Forms"> 
    <forms loginUrl="Users/SignIn" 
      timeout="30" 
      .. moreStuffHere /> 
</authentication>