Proteggi solo Login.aspx per un sito
https://stackoverflow.com/questions/134988
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
- È possibile proteggere solo la pagina Login.aspx (e il postback) e non l'intero sito in IIS?
- Stiamo cercando di farlo specificamente con un sito di SharePoint che esegue l'autenticazione basata su moduli contro la nostra Active Directory.
- I collegamenti a questo saranno utili.
Questo è ciò che abbiamo fatto finora:
1. Configurare SharePoint per utilizzare FBA contro AD.
2. Sposta la pagina di accesso su Secure / Login.aspx
3. Impostare l'URL di accesso appropriato in web.config come https://..../Secure/Login.aspx
Questo non funziona e qui è necessario un aiuto. Tuttavia, anche se funziona, come riportiamo l'utente su http da https?
Soluzione
Non ha molto senso. Se l'unica cosa crittografata è la pagina Login.aspx, ciò significherebbe che qualcuno potrebbe annusare tutto il traffico che non è stato inviato attraverso la pagina di accesso.
Il che potrebbe impedire alle persone di ottenere l'utente: pass, ma tutti gli altri tuoi dati sono esposti.
Altri suggerimenti
Oltre a tutti i dati esposti e alle operazioni dell'utente che possono essere modificate lungo il percorso, l'id di sessione dell'utente (o altri dati di autenticazione) viene inviato in chiaro. Ciò significa che un utente malintenzionato può rubare i cookie (...) e impersonare il sistema, anche senza ottenere la password. (Se ricordo bene SPSv.3 supporta anche il modulo di cambio password integrato ...)
Quindi direi che questa non è una grande idea, a meno che non ti interessi molto di quel sistema comunque ... Ma allora, perché preoccuparsi dell'autenticazione? renderlo anonimo?
Sono d'accordo con AviD e Dan Williams che proteggere solo la pagina di accesso non è una grande idea perché espone altri dati dopo aver lasciato la pagina della password. Tuttavia, è possibile richiedere SSL solo per la pagina login.aspx tramite IIS Manger. Se vai alla pagina login.aspx in Gestione IIS (credo che sia in / _layouts ), puoi fare clic con il tasto destro del mouse sul singolo file e selezionare Proprietà . Da lì, vai alla scheda Sicurezza file e fai clic sul pulsante Modifica ... in Comunicazioni sicure . Qui puoi selezionare la casella Richiedi canale sicuro (SSL) e SSL sarà richiesto solo per quella pagina.
Non sono sicuro di riportare l'utente su http da lì, ma credo che il suo comportamento predefinito sia di inviarti alla pagina richiesta se l'accesso ha esito positivo. In caso contrario, penso che potresti personalizzare dove la pagina di accesso ti invia con un accesso riuscito.
