Hace un tiempo comentaba que existen un montón de sitios web desarrollados en SharePoint que no protegen correctamente el acceso a las páginas de administración. Si realizamos la siguiente búsqueda en Google:
site:*/_layouts/viewlsts.aspx
encontraremos una larga lista de sitios desarrollados en SharePoint que nos muestran sus entrañas y alguna que otra sorpresa (listas de contactos totalmente desprotegidas).
Hoy os quiero dejar un sencillo truco para evitar esta situación. Únicamente se trata de proteger estas páginas evitando que Google las indexe y que los usuarios curiosos puedan acceder a ellas.
Simplemente basta con añadir las siguientes líneas en el fichero web.config de la aplicación:
<location path="_layouts/viewlsts.aspx">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
Antes de modificar este fichero, os recomiendo hacer una copia de seguridad.
Hola!
Sólo comentar que si la web tiene acceso anónimo y una parte de acceso privado cuando pones eso en el web.config lo que hace es redireccionarte a la pantalla de login (en caso de autenticación por forms) en vez de sacarte una pantalla de acceso denegado o error.
No sé cómo hacer para que no rediriga al login así que si alguien sabe… gracias!
Un saludo
Pingback: Como añadir un formulario de contacto a nuestros sitios SharePoint | UAla!!