قم بتأمين Login.aspx فقط لموقع ما
https://stackoverflow.com/questions/134988
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
- هل من الممكن تأمين صفحة Login.aspx فقط (وإعادة النشر) وليس الموقع بأكمله في IIS؟
- نحن نتطلع إلى القيام بذلك على وجه التحديد من خلال موقع SharePoint الذي يقوم بتشغيل المصادقة المستندة إلى النماذج مقابل Active Directory الخاص بنا.
- روابط لهذا سوف تكون مفيدة.
وهذا ما فعلناه حتى الآن:
1.قم بإعداد SharePoint لاستخدام FBA ضد AD.
2.تم نقل صفحة تسجيل الدخول إلى Secure/Login.aspx
3.قم بتعيين عنوان URL المناسب لتسجيل الدخول في web.config كـ https://..../Secure/Login.aspx
هذا لا يعمل وهناك حاجة للمساعدة هنا.ولكن حتى لو نجح هذا، فكيف نعيد المستخدم إلى http من https؟
المحلول
ليس هناك الكثير من النقطة.إذا كان الشيء الوحيد المشفر هو صفحة Login.aspx، فهذا يعني أنه يمكن لشخص ما التعرف على كل حركة المرور التي لم يتم إرسالها عبر صفحة تسجيل الدخول.
الأمر الذي قد يمنع الأشخاص من الحصول على تصريح المستخدم، ولكن جميع بياناتك الأخرى مكشوفة.
نصائح أخرى
إلى جانب جميع البيانات التي يتم كشفها، وعمليات المستخدم التي يمكن تغييرها في الطريق، يتم إرسال معرف جلسة المستخدم (أو بيانات المصادقة الأخرى) بشكل واضح.وهذا يعني أنه يمكن للمهاجم سرقة ملف تعريف الارتباط الخاص بك (...) وانتحال شخصيتك للنظام، حتى بدون الحصول على كلمة المرور الخاصة بك.(إذا كنت أتذكر بشكل صحيح، فإن SPSv.3 يدعم أيضًا وحدة تغيير كلمة المرور المضمنة...)
لذا أود أن أقول إن هذه ليست فكرة عظيمة، إلا إذا كنت لا تهتم بهذا النظام كثيرًا على أي حال....ولكن بعد ذلك، لماذا تهتم بالمصادقة على الإطلاق؟فقط اجعلها مجهولة؟
أتفق مع AviD وDan Williams على أن تأمين صفحة تسجيل الدخول فقط ليست فكرة رائعة لأنها تكشف بيانات أخرى بعد مغادرة صفحة كلمة المرور.ومع ذلك، يمكنك طلب SSL لصفحة تسجيل الدخول.aspx فقط عبر IIS Manger.إذا انتقلت إلى صفحة تسجيل الدخول.aspx في IIS Manager (أعتقد أنها موجودة ضمن /_layouts)، يمكنك النقر بزر الماوس الأيمن على الملف الفردي وتحديده Properties.ومن هناك اذهب إلى File Security علامة التبويب وانقر على Edit... زر تحت Secure communications.هناك، يمكنك التحقق من Require secure channel (SSL) المربع، وستكون SSL مطلوبة لتلك الصفحة فقط.
لست متأكدًا من إعادة المستخدم إلى http من هناك، ولكن أعتقد أن سلوكه الافتراضي هو إرسالك إلى الصفحة المطلوبة إذا كان تسجيل الدخول ناجحًا.إذا لم يكن الأمر كذلك، أعتقد أنه يمكنك تخصيص المكان الذي ترسلك إليه صفحة تسجيل الدخول عند تسجيل الدخول الناجح.
