Outra dica de seguran�a:
����������� Coloque
seus arquivos ou diret�rios abaixo do diret�rio WEB-INF, que � um diret�rio
inacess�vel para os usu�rios da aplica��o.
Falou.
-----Mensagem original-----
De: [EMAIL PROTECTED]com.br [mailto:[EMAIL PROTECTED]
Enviada em: segunda-feira, 13 de
setembro de 2004 19:10
Para: [EMAIL PROTECTED]org
Assunto: RES: [cejug-discussao]
<url-pattern>
����������� Oi, Jodevan, beleza?
����������� Acho que nesse seu caso o ideal
seria configurar o servidor para n�o listar o diret�rio. No tomcat, por
exemplo, basta mudar a prppriedade listings do servlet default no web.xml, na pasta conf. Olhe o trecho do xml abaixo:
��� <servlet>
�������
<servlet-name>default</servlet-name>
�������
<servlet-class>
���������
org.apache.catalina.servlets.DefaultServlet
�������
</servlet-class>
�������
<init-param>
�����������
<param-name>debug</param-name>
�����������
<param-value>0</param-value>
�������
</init-param>
�������
<init-param>
�����������
<param-name>listings</param-name>
�����������
<param-value>false</param-value>
�� �����</init-param>
�������
<load-on-startup>1</load-on-startup>
��� </servlet>
����������� Falou!
===========================================
Francisco Deisimar Nobre J�nior
Analista de Sistemas - CIT - M. Dias Branco
===========================================
-----Mensagem original-----
De: Francisco Jodevan Campelo [mailto:[EMAIL PROTECTED]
Enviada em: segunda-feira, 13 de
setembro de 2004 18:04
Para: Cejug
Assunto: [cejug-discussao]
<url-pattern>
|
![]()
|
Estou com alguns probleminhas e gostaria de ouvir
alguma sugest�o de voc�s.
Estou fazendo um esquema de seguran�a que bloqueia
certas tentativas dos usu�rios em acessar uma p�gina diretamente digitando a
URL na barra de endere�os do navegador. Para isto, estou usando filtros.
Gostaria de bloquear apenas as p�ginas JSP. Dessa forma, coloquei a seguinte
configura��o no web.xml:
<filter>
<filter-name>SecurityFilter</filter-name>
<filter-class>br.com.secrel.opus.security.SecurityFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>SecurityFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
A classe SecurityFilter
possui o algoritmo que verifica se o usu�rio tem acesso ou n�o � p�gina que
ele est� tentando acessar. Esta parte est� funcionando bem. Por exemplo, se
ele digitar http://localhost:8080/opus/system/FwUserLayout.jsp no navegador e o algoritmo
determinar que ele tem acesso, ent�o este ser� concedido. Caso contr�rio, ele
ser� redirecionado para a p�gina inicial. Contudo, se ele digitar http://localhost:8080/opus/system/ todas os arquivos deste diret�rio
ser�o exibidos. Gostaria de saber se � poss�vel determinar um url-pattern que
fa�a com que o filtro capture o acesso a qualquer diret�rio (por exemplo http://localhost:8080/opus/appdictionary/ ou
http://localhost:8080/opus/datadictionary/)
sem que eu tenha que capturar todas as requisi��es
(<url-pattern>/*</url-pattern>) ou se eu tenho que criar um
filter-mapping para cada diret�rio. Eu sei que poderia para cada um deles
colocar um index.jsp, mas isso poderia tornar o
sistema mais inseguro, caso se esquecesse de adicionar este arquivo em algum
diret�rio.
Antecipadamente, agrade�o a alguma sugest�o.
|
|
Francisco Jodevan Campelo
Analista de Sistemas
Grupo Secrel
[EMAIL PROTECTED]
www.gruposecrel.com.br
|
