Intercettare le credenziali dell'utente prima di essere espulso per la verifica

Question

Il nostro sito richiede la password di essere passato su un'altra pagina di log automatico ai siti dei fornitori che vengono portati in via iframe.

Dal momento che le password vengono memorizzate come un valore hash nel nostro sito, l'unico modo che posso vedere di essere in grado di ottenere la password dalla pagina che ne ha bisogno è quello di memorizzare come una variabile di sessione, o passarlo insieme sul querystring, quando l'utente accede a (entrano nella casella di testo password).

Il nostro sito ha un certificato SSL dedicato, in modo che io sappia passando le credenziali dovrebbe essere decentemente sicuro.

Non riesco a capire come il login DNN sta lavorando al fine di intercettare la password. Qualcuno sa abbastanza circa il login DNN o gli accessi, in generale, per essere in grado di darmi consigli sulla conservazione delle credenziali per un utilizzo futuro?

Qualche suggerimento per alternative a questo sarebbe utile pure.

Grazie,
Matt

Answer 1

Ci sono diversi formati di password diverse è possibile scegliere di utilizzare con DNN. È possibile modificare i formati di password per apportare modifiche al file web.config nella

chiave AspNetSqlMembershipProvider della sezione di appartenenza.

Qui ci sono le opzioni disponibili per i formati di password:

passwordFormat="[Clear|Hashed|Encrypted]"   
Storage format for the password: Hashed (SHA1), Clear or Encrypted (Triple-DES)

Le password vengono memorizzate nella tabella AspnetMembership. Se si utilizza il formato criptato, allora si dovrebbe essere in grado di tirare la password di nuovo fuori.