Configurazione Full Trust e web.config

Introduzione

Questa guida spiega come configurare il livello Full Trust per un sito ASP.NET e come gestire correttamente il file web.config.

La modifica può essere effettuata:

utilizzando IIS Manager.
utilizzando un client FTP;
dal pannello di controllo tramite:
- il File Manager;
- l'Application pool.

Utilizzare IIS Manager

Per connetterti all'ISS Manager del tuo dominio:

apri IIS Manager dal tuo dispositivo;
dal menu laterale seleziona il sito interessato;
successivamente apri la voce .NET Trust Levels:

Pannello Internet Information Services Manager con sezione .NET Trust Levels selezionata

nella schermata che si apre seleziona Full (Internal):

Pannello IIS con menu Trust level aperto nella sezione .NET Trust Levels

Modifica del file web.config tramite il pannello di controllo

Puoi modificare il file web.config dal pannello di controllo tramite:

l'Application Pool;
il File Manager.

Nell'immagine seguente un esempio del file configurato correttamente:

File web.config aperto in Blocco note con configurazione compilation e trust level

Modifica del file web.config tramite client FTP

Puoi modificare il file web.config tramite un client FTP aggiungendo l'istruzione:

<trust level = "Full" />

Nell'immagine seguente un esempio del file configurato correttamente:

Note finali sulla sicurezza del web.config

Una volta completata la modifica, nel file web.config sarà presente il tag:

Da questo momento, il sito disporrà del massimo livello di attendibilità da parte del sistema operativo e potrai utilizzare tutte le librerie e le funzionalità disponibili in .NET.

Nel file web.config sarà inoltre presente il tag tempDirectory, inserito automaticamente dai nostri sistemi. Questo parametro non deve essere rimosso, poiché contribuisce a migliorare la sicurezza del sito.

Il tag tempDirectory consente infatti di utilizzare una directory temporanea dedicata per la compilazione .NET, isolata rispetto agli altri siti ospitati sullo stesso server.

In questo modo, anche nel caso in cui un altro sito presenti vulnerabilità o subisca una compromissione, i file temporanei del tuo sito rimarranno separati e protetti.

Queste directory temporanee possono contenere informazioni sensibili, come riferimenti a file di configurazione o dati che potrebbero essere utilizzati per individuare percorsi critici o tentare attività di esfiltrazione.

Se elimini, anche accidentalmente, il tag tempDirectory, il sistema provvederà automaticamente al suo ripristino.
Per questo motivo, il file web.config potrebbe mostrare una data di modifica diversa rispetto a quella dell'ultima pubblicazione effettuata dall'utente: ciò indica semplicemente il ripristino automatico delle impostazioni di sicurezza predisposte dal sistema.

Come disabilitare il Full Trust

Se desideri disabilitare la modalità Full Trust, puoi procedere in uno dei seguenti modi:

dal pannello di controllo scegliendo il trust level Aruba predefinito;
modificando il file web.config da File Manager o da client FTP rimuovendo la direttiva <trust level = "Full" />;
utilizzando IIS Manager, scegliendo HostingMT alla voce .NET Trust Levels.