Sichern Sie nur Login.aspx für eine Website

StackOverflow https://stackoverflow.com/questions/134988

Frage

  1. Ist es möglich, nur die Login.aspx Seite (und das Postback) und nicht die gesamte Website in IIS zu sichern?
  2. Wir suchen diese speziell mit einer Sharepoint-Website zu tun, formularbasierte Authentifizierung gegen unsere Active Directory ausgeführt wird.
  3. Links zu dieser wird hilfreich sein.

Dies ist, was wir bisher getan haben:
1. Setup-Sharepoint FBA gegen AD zu verwenden.
2. Verschoben Login-Seite zu sichern / Login.aspx
3. Legen Sie die entsprechende Anmelde-URL in web.config als https://..../Secure/Login.aspx

Dies funktioniert nicht, und Hilfe ist hier erforderlich. Doch selbst wenn dies funktioniert, wie bekommen wir den Benutzer zurück zu http von https?

War es hilfreich?

Lösung

Es gibt nicht eine ganze Menge Punkt. Wenn die einzige Sache, die verschlüsselt ist die Seite Login.aspx ist, das würde bedeuten, dass jemand den ganzen Verkehr schnuppern können, die nicht durch die Login-Seite gesendet wurde.

Welche Menschen daran Benutzer verhindern könnten. Geben, aber alle anderen Daten ausgesetzt ist

Andere Tipps

Neben all die Daten, die ausgesetzt ist, und die Bedienung des Benutzers, die auf dem Weg geändert werden können, der Session-ID des Benutzers (oder andere Authentifizierungsdaten) im Klartext gesendet. Dies bedeutet, dass ein Angreifer Ihre Cookie stehlen kann (...) und imitieren Sie auf das System, auch ohne Ihr Passwort zu bekommen. (Wenn ich mich richtig erinnere SPSv.3 unterstützt auch eingebaute Passwort-Wechsel-Modul ...)
Also ich würde sagen, dass dies keine gute Idee, es sei denn, Sie kümmern sich um dieses System nicht sehr viel sowieso .... Aber dann, warum die Mühe überhaupt mit Authentifizierung? nur macht es anonym?

ich mit AVID und Dan Williams darüber einig, dass nur der Login-Seite zu sichern ist keine gute Idee, weil es andere Daten freigibt, nachdem das Passwort Seite zu verlassen. Allerdings können Sie SSL nur für die login.aspx Seite über den IIS-Manager benötigen. Wenn Sie auf die login.aspx Seite in IIS-Manager navigieren (ich glaube, es unter /_layouts ist), können Sie mit der rechten Maustaste auf die einzelnen Datei und wählen Sie Properties. Von dort gehen Sie auf die Registerkarte File Security und klicken Sie auf die Schaltfläche unter Edit... Secure communications. Dort können Sie die Require secure channel (SSL) Kontrollkästchen, und SSL wird für die Seite nur erforderlich sein.

Ich bin nicht positiv über den Benutzer zurück zu http von dort bekommen, aber ich glaube, sein Standardverhalten ist, dass Sie auf die gewünschten Seite zu senden, wenn die Anmeldung erfolgreich ist. Wenn nicht, würde ich denken, die du selber gestalten könnte, wo die Login-Seite auf einer erfolgreichen Anmeldung sendet.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top