Asegurar solo Login.aspx para un sitio
https://stackoverflow.com/questions/134988
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
- ¿Es posible asegurar solo la página Login.aspx (y la devolución de datos) y no todo el sitio en IIS?
- Estamos buscando hacer esto específicamente en un sitio de SharePoint que ejecute la autenticación basada en formularios en nuestro Active Directory.
- Los enlaces a esto serán útiles.
Esto es lo que hemos hecho hasta ahora:
1. Configure SharePoint para usar FBA contra AD.
2. Se movió la página de inicio de sesión a Secure / Login.aspx
3. Establezca la URL de inicio de sesión adecuada en web.config como https://..../Secure/Login.aspx
Esto no funciona y se necesita ayuda aquí. Sin embargo, incluso si esto funciona, ¿cómo hacemos que el usuario vuelva a http desde https?
Solución
No hay mucho punto. Si lo único que está cifrado es la página Login.aspx, eso significaría que alguien podría detectar todo el tráfico que no se envió a través de la página de inicio de sesión.
Lo que podría evitar que las personas obtengan el usuario: pase, pero todos los demás datos están expuestos.
Otros consejos
Además de todos los datos que están expuestos y la operación del usuario que se puede cambiar en ruta, la identificación de la sesión del usuario (u otros datos de autenticación) se envía de forma clara. Esto significa que un atacante puede robar su cookie (...) y hacerse pasar por el sistema, incluso sin obtener su contraseña. (Si recuerdo correctamente, SPSv.3 también admite el módulo de cambio de contraseña incorporado ...)
Así que diría que esta no es una gran idea, a menos que no te importe mucho ese sistema de todos modos ... Pero entonces, ¿por qué molestarse con la autenticación? solo hazlo anonimo?
Estoy de acuerdo con AviD y Dan Williams en que asegurar solo la página de inicio de sesión no es una gran idea porque expone otros datos después de dejar la página de contraseña. Sin embargo, puede requerir SSL solo para la página login.aspx a través del Administrador de IIS. Si navega a la página login.aspx en el Administrador de IIS (creo que está en / _layouts ), puede hacer clic derecho en el archivo individual y seleccionar Propiedades . Desde allí, vaya a la pestaña File Security y haga clic en el botón Edit ... debajo de Secure communications . Allí, puede marcar la casilla Requerir canal seguro (SSL) y solo se requerirá SSL para esa página.
No estoy seguro de que el usuario vuelva a http desde allí, pero creo que su comportamiento predeterminado es enviarlo a la página solicitada si el inicio de sesión es exitoso. Si no, creo que podría personalizar donde la página de inicio de sesión le envía con éxito.
