사이트의 경우 로그인 만 보장하십시오

Question

1. IIS의 전체 사이트가 아닌 Login.aspx 페이지 (및 Postback) 만 보호 할 수 있습니까?
2. 우리는 Active Directory에 대한 SharePoint 사이트를 실행하는 양식 기반 인증을 통해 특별히 수행하려고합니다.
3. 이것에 대한 링크가 도움이 될 것입니다.

이것이 우리가 지금까지 한 일입니다.
1. AD에 대한 FBA를 사용하려면 SharePoint를 설정합니다.
2. 로그인 페이지를 보장/로그인으로 이동했습니다
3. web.config에서 적절한 로그인 URL을 설정합니다 https://..../Secure/Login.aspx

이것은 작동하지 않으며 여기서 도움이 필요합니다. 그러나 이것이 효과가 있더라도 사용자를 HTTPS에서 HTTP로 되돌릴 수있는 방법은 무엇입니까?

Answer 1

포인트가 많지 않습니다. 암호화 된 유일한 것이 로그인 .aspx 페이지 인 경우 로그인 페이지를 통해 전송되지 않은 모든 트래픽을 스니핑 할 수 있음을 의미합니다.

사람들이 사용자를 얻지 못하게 할 수 있지만 다른 모든 데이터는 노출됩니다.

Answer 2

노출 된 모든 데이터와 도중으로 변경할 수있는 사용자의 작업 외에 사용자의 세션 ID (또는 기타 인증 데이터)가 명확하게 전송됩니다. 이것은 공격자가 쿠키를 훔치고 비밀번호를 얻지 않고도 시스템에 사칭 할 수 있음을 의미합니다. (내가 정확하게 기억한다면 SPSV.3도 내장 암호 변경 모듈도 지원합니다 ...)
그래서 나는 당신이 어쨌든 그 시스템을 크게 신경 쓰지 않는 한, 이것이 좋은 생각이 아니라고 말할 것입니다 .... 그러나 왜 인증에 전혀 귀찮게합니까? 익명으로 만들까요?

Answer 3

Avid와 Dan Williams는 로그인 페이지 만 보호하는 것이 암호 페이지를 떠난 후 다른 데이터를 노출시키기 때문에 좋은 아이디어가 아니라고 동의합니다. 그러나 IIS 관리자를 통해 로그인 .aspx 페이지에만 SSL이 필요할 수 있습니다. IIS 관리자의 Login.aspx 페이지로 이동하는 경우 (아래에 있다고 생각합니다. /_layouts), 개별 파일을 마우스 오른쪽 버튼으로 클릭하고 선택할 수 있습니다. Properties. 거기에서 가십시오 File Security 탭을 클릭하십시오 Edit... 아래 버튼 Secure communications. 거기에서 확인할 수 있습니다 Require secure channel (SSL) 상자 및 SSL은 해당 페이지에만 필요합니다.

나는 사용자를 HTTP로 다시 가져 오는 것에 대해 긍정적이지 않지만, 기본 동작은 로그인이 성공하면 요청 된 페이지로 보내는 것이라고 생각합니다. 그렇지 않다면 로그인 페이지에서 성공적인 로그인을 보내는 위치를 사용자 정의 할 수 있다고 생각합니다.