Sécuriser uniquement Login.aspx pour un site
https://stackoverflow.com/questions/134988
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
- Est-il possible de sécuriser uniquement la page Login.aspx (et la publication) et non l'ensemble du site dans IIS?
- Nous souhaitons le faire spécifiquement avec un site SharePoint exécutant l'authentification par formulaires sur notre Active Directory.
- Des liens vous seront utiles.
Voici ce que nous avons fait jusqu'à présent:
1. Configurez SharePoint pour utiliser FBA contre AD.
2. Déplacement de la page de connexion vers Secure / Login.aspx
3. Définissez l'URL de connexion appropriée dans web.config comme https: //..../Secure/Login.aspx
Cela ne fonctionne pas et une aide est nécessaire ici. Cependant, même si cela fonctionne, comment pouvons-nous ramener l'utilisateur à http à partir de https?
La solution
Il n'y a pas beaucoup de point. Si la seule chose cryptée est la page Login.aspx, cela signifierait que quelqu'un pourrait renifler tout le trafic qui n'a pas été envoyé via la page de connexion.
Ce qui pourrait empêcher les utilisateurs d'obtenir l'utilisateur: passe, mais toutes vos autres données sont exposées.
Autres conseils
Outre toutes les données exposées et les opérations de l'utilisateur pouvant être modifiées en cours de route, l'identifiant de session de l'utilisateur (ou d'autres données d'authentification) est envoyé en clair. Cela signifie qu'un attaquant peut voler votre cookie (...) et vous faire passer pour le système, même sans récupérer votre mot de passe. (Si je me souviens bien, SPSv.3 prend également en charge le module de changement de mot de passe intégré ...)
Donc, je dirais que ce n’est pas une bonne idée, à moins que vous ne vous souciez pas beaucoup de ce système de toute façon ... Mais alors, pourquoi se préoccuper de l’authentification? juste rendre anonyme?
Je conviens avec AviD et Dan Williams que la sécurisation de la seule page de connexion n’est pas une bonne idée car elle expose d’autres données après avoir quitté la page de mot de passe. Toutefois, vous pouvez exiger SSL uniquement pour la page login.aspx via le gestionnaire IIS. Si vous accédez à la page login.aspx dans le Gestionnaire des services Internet (je crois que c'est sous / _ layouts ), vous pouvez cliquer avec le bouton droit sur le fichier individuel et sélectionner Propriétés . À partir de là, accédez à l'onglet Sécurité du fichier et cliquez sur le bouton Modifier ... sous Communications sécurisées . Vous pouvez y cocher la case Requérir un canal sécurisé (SSL) , et SSL ne sera requis que pour cette page.
Je ne suis pas sûr que l'utilisateur puisse revenir à http à partir de là, mais je pense que son comportement par défaut consiste à vous envoyer à la page demandée si la connexion est réussie. Sinon, je pense que vous pouvez personnaliser l'emplacement où la page de connexion vous envoie après une connexion réussie.
