Wie ist asp.net gesichert?

Ich habe einmal probiert, ob man von einer aspx-seite aus cmd.exe starten kann. Zu meiner großen überraschung ging es bei mir lokal (development server). Ohne es getestet zu heben, gehe ich mal davon aus, das soetwas bei einem anbieter von shared hosting nicht gehen kann.

Und jetzt frage ich mich: Wie begrenzen hoster, die asp.net hosten die rechte ihrer kunden:
-wird für jeden kunden eine virtuelle maschine oder ein eigener benutzeraccount angelegt?
-Wie wird die größe des webspace beschränkt?
-Wie wird verhindert, das programme gestartet werden?
-Wie wird verhindert, das man passwörter aus den quelltesten/scripten anderer leute ausließt?
-Wird eine andere Version des .net frameworks eingesetzt?

Hallo Floste,

Du solltest dich eher Fragen wie sicher dein Code geschrieben ist?

Was genau dein Hoster dir zur Verfügung stellt, solltest du Ihn selber Fragen, denn deswegen ist er auch dein Hoster und nicht wir.

Dein Hoster kann dir entweder eine physikalische Maschine bereitstellen oder eine virtuelle Maschine. Als virtuelle Maschine gibt es verschiedene Möglichkeiten als Basis.

Wenn du Paranoid bist, dass der Hoster deine Passwörter Mithilfe von Refactor.NET aus deinen Assemblies aussliesst, dann solltest du diese vielleicht verschlüsselt ablegen? Oder garnicht im Quelltext?!

Auch welche .NET Framework Version dein Hoster dir anbietet, kann auch nur er dir beantworten.

Auch solltest dir im klaren sein mit welchen Rechten deine aspx Seite die cmd.exe gestartet hat! Auf welchem OS hast du das getestet und hast du den Visual Studio integrierten Webserver benutzt oder den IIS?

Es geht eher um shared-server, wo mehrere anwendungen verschidener benutzer drauf liegen. Und meine frage ist eher allegemein nach den technischen hintergründen.

wird für jeden kunden eine virtuelle maschine oder ein eigener benutzeraccount angelegt?

Von Deim gebuchten Angebot abhängig. Der IIS kann mit verschiedenen Accounts arbeiten - oder du mietest nen virtuellen Server, mit dem Du natürlich viel mehr Möglichkeiten hast.

-Wie wird die größe des webspace beschränkt?

Disk-Quota-Management (entweder durch Windows oder den IIS)

-Wie wird verhindert, das programme gestartet werden?

Kommt auf die Umgebung an. Auf dem virtuellen Server ist sicherlich nichts unterdrückt. Das wäre ja eine Kastraktion.

-Wie wird verhindert, das man passwörter aus den quelltesten/scripten anderer leute ausließt?

Dafür bist Du verantwortlich - oder nutzt die Application-Pools des IIS mit eigenem User, was Hoster aber sicherlich bei Shared-Webservern nicht machen werden.
Bzw. User-Isolation wenn du das meinst.