ASP - Poca Seguridad en ASP

Hola a tod@s!!!!

Creo q esto es bastante importante, el navegador interpreta codigo asp y lo muestra como si se tratara de texto html, con lo cual se pueden ver password y conexiones con BD. Los archivos q interpreta son los .inc, los cuales sirven para poder crear las fucniones de asp.

Si alguien sabe como poner remedio a esto q me avise por favor!!!

Perdon pero no te he entendido bien.
Dices que el navegador interpreta el codigo asp y lo muestra al cliente como si se tratase de texto html ???
Si suponemos que eso sucede pues tu aplicacion no funcionaria.
Recuerdas como funciona esto ?
Paso a paso:
1) El cliente escribe una url (http://www.direccion.com/ej.asp)
2) El servidor recibe la instruccion del cliente, interpresa su pagina asp y ejecuta los pasos que se encuentran entre <%.....%> del lado del server.
3) Devuelve al cliente el resultado de lo procesado en formato HTML

Tu dices que el navegador, no se cual.
Te devuelve tambien todo el codigo ASP ??
Puedes decirnos cual es este navegador ???
Infinidad de empresas estarian en problemas si esto sucediera tal como lo dices tu.

Pues si. Mira te cuento, en mi intranet tengo una funcion en asp guardada en un archivo q se llama conexio.inc, si yo en la barra de direcciones escribo http://loquesea.com/conexio.inc el navegador no interpreta el codigo y delvuelve al cliente el codigo fuente. Lo juro!!!
Si quieres saber algo mas preguntamelo, pero yo me he quedado de piedra .

Pero esa funcion que tu dices que se llama conexio.inc bajo que carpeta la creastes ???
Supongo que deberias ponerla bajo la carpeta _private para que no pueda ser accedida desde afuera
Recuerdas todas las carpetas que te crea el Microsoft Visual InterDev 6.0 cuando comienzas a abrir una nueva aplicacion. Pues una de estas carpetas se llama _private

El Web Server IIS posee un procesador de ASP que reside en el archivo ASP.DLL (generalmente en C:\WINDOWS\System32\inetsrv\asp.dll) y solo interpreta scripts ASP de aquellos archivos con extension:
.ASP, .ASA, .CDX y .CER cualquier otra extension (incluyendo los .INC) el web server (IIS generalmente) la entregara como un archivo de texto.

Por eso siempre se recomienda no usar esa extension (.INC) para archivos de inclusion y reemplazarla por .ASP.

EFECTIVAMENTE YO CREE UNA CARPETA Q SE LLAMA FUNCTIONS/CONEXIO.INC, PERO LO Q ME DICES TU DEL IIS, SI YO RENOMBRO LOS INC POR ASP ME FUNCIONARAN LAS FUNCIONES IGUAL????

si, claro que funcionan.
No hay ningun problema en incluir un archivo de extension .ASP, en realidad el archivo puede tener cualquier extension al momento de ser incluido.

Ok muchas gracias amigo, pero ahora tendre un gran trabajo por q tengo q ir pagina por pagina a canviar los includes de las funciones, pero bueno q le vamos hacer si asi es mas seguro para esto estamos lo programadores..

Gracias por todo

Revisa la seguridad del IIS, no importa si tienes un interprete de ASP, si lo pones como ASP las páginas o como tu quieras, desde el mismo Web Server tienes la opción de restringir el acceso desde el navegador.

Donde trabajo, tenemos una carpeta con mucha información y muy delicada (trabajo en un banco) y las páginas se manejan con ASP y XML, tenemos una serie de códigos en archivos .INC y si lo trato de revisar, esta información no la veo, ya que solo me saldrá el error que no existe o no tengo acceso al archivo o a la dirección indicada.

Ojo con algunos consejos medio arcaicos, mejor revisa lo que tienes más a la mano y sabes que no te afectará como el cambio de nombre de los archivos.

Cualquier cosa puedes escribirme para más trucos.