Варианты хранения MS Chart ChartImageHandler - PullRequest
Новая
       20

Варианты хранения MS Chart ChartImageHandler

2 голосов
/ 09 сентября 2011

Я прочитал несколько статей о ChartImageHandler storage опциях, и, похоже, у меня есть 3 варианта, по которым у меня есть вопросы;

  1. Если мы выберем file опцийзатем изображение, созданное графиком ms, сначала сохраняется в указанном месте.Я хочу знать, указали ли мы местоположение по умолчанию в C:\TempImageFiles адресе, имеет ли это соображения безопасности?Я имею в виду MS Chart, под которым windows user получает доступ к этой папке и пишет на ней изображение?Имеет ли это риск взлома?

  2. Если мы выберем memory Изображение, хранящееся в основной памяти, а затем, если мы укажем опцию deleteAfterServicing=true после загрузки на клиент, оно будет удалено.Я хочу знать, если мы выберем опцию ImageStorageMode="UseHttpHandler" для диаграммы, может ли любой хакер использовать Chart.axd и вызывать его несколько раз и вызвать переполнение памяти?Что делает MS Chart, чтобы предотвратить это?

  3. Если мы выберем session Изображение, сохраненное в сеансе, и снова я хочу знать, что любой хакер может использовать Chart.axd, называя его множественнымраз вызвать переполнение памяти?Если при создании изображения возникло исключение, удаляется ли сеанс?После загрузки на клиент также удаляет сеанс?

1 Ответ

0 голосов
/ 12 октября 2011

Создание файлов в файловой системе будет доступно другим пользователям Windows, имеющим доступ к машине.Файлы будут создаваться пользователем ASP, и поэтому вы можете ограничить доступ к папке только для этого пользователя, тем самым предотвращая видимость для других пользователей обычного уровня - хотя системные администраторы, скорее всего, будут иметь полный доступ.

СозданиеИзображения в памяти веб-сервера, вызывающие переполнение памяти и, следовательно, делающие ваш сервер уязвимым, не более небезопасны, чем любая другая часть IIS, потребляющая память.Например, если злонамеренный пользователь создал много-много анонимных сеансов на вашем веб-сервере, он мог бы вызвать то же состояние памяти.Поэтому я бы сказал, что вы подвергаетесь очень низкому риску безопасности, используя методы 2 и 3.

...