サイトの Login.aspx のみを保護する
-
02-07-2019 - |
質問
- IIS のサイト全体ではなく、Login.aspx ページ (およびポストバック) のみを保護することは可能ですか?
- 特に、Active Directory に対してフォーム ベース認証を実行している SharePoint サイトでこれを行うことを検討しています。
- これへのリンクが役立ちます。
これまでに行ったことは次のとおりです。
1.AD に対して FBA を使用するように SharePoint をセットアップします。
2.ログイン ページを Secure/Login.aspx に移動しました
3.web.config で適切なログイン URL を次のように設定します。 https://..../Secure/Login.aspx
これは機能していません。ここで助けが必要です。ただし、これが機能したとしても、ユーザーを https から http に戻すにはどうすればよいでしょうか?
解決
あまり意味がありません。暗号化されているのが Login.aspx ページだけである場合、ログイン ページを介して送信されなかったすべてのトラフィックが誰かに盗聴される可能性があることを意味します。
これにより、ユーザーが user:pass を取得できなくなりますが、他のデータはすべて公開されます。
他のヒント
公開されるすべてのデータ、および途中で変更される可能性があるユーザーの操作に加えて、ユーザーのセッション ID (またはその他の認証データ) は平文で送信されます。これは、パスワードを取得しなくても、攻撃者が Cookie (...) を盗んでシステムにログインできることを意味します。(私の記憶が正しければ、SPSv.3 は組み込みのパスワード変更モジュールもサポートしています...)
したがって、とにかくそのシステムをあまり気にしない限り、これは素晴らしいアイデアではないと思います...しかし、そもそも、なぜわざわざ認証を行う必要があるのでしょうか?匿名にするだけですか?
私も AviD と Dan Williams の意見に同意します。ログイン ページのみを保護することは、パスワード ページを離れた後に他のデータが公開されるため、良いアイデアではありません。ただし、IIS マネージャーを使用して、login.aspx ページに対してのみ SSL を要求できます。IIS マネージャーの login.aspx ページに移動すると (次の場所にあると思います) /_layouts
)、個々のファイルを右クリックして選択できます。 Properties
. 。そこから、 File Security
タブをクリックして、 Edit...
下のボタン Secure communications
. 。そこで確認できるのは、 Require secure channel (SSL)
ボックスにチェックを入れると、そのページにのみ SSL が必要になります。
ユーザーをそこから http に戻すことには積極的ではありませんが、デフォルトの動作では、ログインが成功した場合に要求されたページに送信されると思います。そうでない場合は、ログインが成功したときにログインページが送信される場所をカスタマイズできると思います。