Seguridad en carpetas del servidor

Hola que tal, soy nueva en la comunidad y completamente nueva en el mundo de ASP.NET.

Estoy un poco frustrada porque tengo un problema que hasta la fecha no he podido resolver, lo que sucede es lo siguiente:

Tengo una página (mipagina.mx/usuarios/informacion) en la cual los usuarios tienen que iniciar sesión para poder ver su información correspondiente.
Cuando entran, en la página default aparece su foto.

El problema reside en que las fotos de todos los usuarios se encuentran en en un folder independiente dentro del servidor, entonces, se puede acceder a estas imágenes tecleando directamente la url (mipagina.mx/usuarios/fotos/imagen.jpg), y así un usuario puede ver las imágenes de todos los demás usuarios, además los nombres de las imágenes son muy predecibles ya que son un tipo de ID que no se puede modificar por ningún motivo.

Se está utilizando C# como lenguaje.

Me gustaría saber qué puedo hacer para solucionar esto. Cualquier información adicional que necesiten saber para darme sus opiniones con toda confianza pregunten, de verdad que a estas alturas cualquier ayuda será bien recibida.

Saludos, y gracias de antemano.

Sabes que no te entiendo bien.

Cuando hablas de sesion a cual te referis (de windows? o en tu sitio?)

Vos no queres que un usuario vea otras imagenes que no le corresponda?

Saludos.

Hola,

Primero que nada seria importante que la carpeta de imagenes estuviera dentro del mismo proyecto web.

Segundo puedes configurar el IIS, para que no permita la lista de archivos. Si puedes teclear la ruta y los datos se muestran entonces IIS esta mal configurado.

Tercero, bloquea el acceso de usuarios anonimos a la aplicacion desde el web.config.


Saludos,

Microsoft Online Community Support

Hola, que tal...

Mdavila: La sesión se inicia en windows, y sí, lo que no quiero es que los usuarios vean fotos que no les corresponden con un simple tecleo de la ruta.

Jaullo: No hemos intentado eso hasta ahora, porque por otras implicaciones se necesita la carpeta fuera del proyecto. Pero supongo que si no se encuentra una solución pronta tendrán que tomarse otras medidas, así que tendré en mente lo que propones.

Como les digo, en realidad soy muy nueva en esto y eso me limita, pero he estado leyendo y por ahí encontré que llevando el folder al App_Data lo que intento se me facilitaría, uds que opinan?

Muchas gracias por sus respuestas, saludos!

Hola,

No es buena idea llevar el folder al App_Data, si bien puede servir, su objetivo final no es ese.
De igual forma al hacer eso estarias aplicando lo que te comenté, colocar la carpeta dentro del proyecto.

De igual manera, aun estando dentro del sitio sea el App_Data o en la raiz, si IIS sigue mal configurado seguiran mostrandose.

Saludos,