Garantir única Login.aspx para um site
https://stackoverflow.com/questions/134988
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
- É possível garantir apenas a página Login.aspx (e a postagem) e não todo o site no IIS?
- Nós estamos olhando para fazer isso especificamente com um site SharePoint em execução baseada em formulários autenticação contra o nosso Active Directory.
- Links para esta vai ser útil.
Este é o que temos feito até agora:
1. SharePoint configuração para usar FBA contra AD.
2. Movido página de login para proteger / Login.aspx
3. Defina o apropriado URL de login no web.config como https://..../Secure/Login.aspx
Isto não está funcionando e ajuda é necessária aqui. No entanto, mesmo se isso funciona, como podemos obter a volta do usuário para http de https?
Solução
Não há um monte de ponto. Se a única coisa que está criptografada é a página Login.aspx, isso significaria que alguém poderia capturar todo o tráfego que não foi enviada através da página de login.
O que pode impedir que as pessoas fiquem usuário:. Passagem, mas todos os seus outros dados são expostos
Outras dicas
Além de todos os dados que são expostas, e a operação do usuário que podem ser alterados no caminho, ID de sessão do usuário (ou outros dados de autenticação) é enviado em claro. Isto significa que um atacante pode roubar o cookie (...) e passar por você para o sistema, mesmo sem obter sua senha. (Se bem me lembro SPSv.3 também suporta embutidas módulo de alterar a senha ...)
Então, eu diria que isso não é uma grande idéia, a menos que você não se importam com esse sistema muito de qualquer maneira .... Mas então, por que se preocupar com a autenticação em tudo? apenas torná-lo anônimo?
Eu concordo com ávido e Dan Williams que garantir apenas a página de login não é uma ótima idéia porque expõe outros dados depois de deixar a página de senha. No entanto, você pode exigir SSL para apenas a página login.aspx via a Manger IIS. Se você navegar até a página login.aspx no Gerenciador de IIS (creio que está sob /_layouts), você pode clicar com o botão direito no arquivo individual e selecione Properties. De lá, vá para a guia File Security e clique no botão Edit... sob Secure communications. Lá, você pode verificar a caixa de Require secure channel (SSL) e SSL será necessário para apenas essa página.
Eu não sou positivo sobre a obtenção de parte de trás do usuário para http de lá, mas acredito que seu comportamento padrão é enviar você para a página solicitada se o login for bem sucedido. Se não, eu acho que você pode personalizar onde a página de login envia-lo em um login bem-sucedido.
