Обеспечьте безопасность только файла Login.aspx для сайта.
-
02-07-2019 - |
Вопрос
- Можно ли защитить в IIS только страницу Login.aspx (и обратную передачу), а не весь сайт?
- Мы хотим сделать это специально с помощью сайта SharePoint, на котором используется проверка подлинности на основе форм в нашей Active Directory.
- Ссылки на это будут полезны.
Вот что мы сделали на данный момент:
1.Настройте SharePoint для использования FBA против AD.
2.Страница входа перемещена в Secure/Login.aspx.
3.Установите соответствующий URL-адрес входа в web.config как https://..../Secure/Login.aspx
Это не работает и здесь нужна помощь.Однако даже если это сработает, как нам вернуть пользователя на http с https?
Решение
В этом нет особого смысла.Если единственное, что зашифровано, — это страница Login.aspx, это будет означать, что кто-то может перехватить весь трафик, который не был отправлен через страницу входа.
Это может помешать людям получить user:pass, но все остальные ваши данные будут раскрыты.
Другие советы
Помимо всех открытых данных и действий пользователя, которые могут быть изменены в пути, идентификатор сеанса пользователя (или другие данные аутентификации) отправляется в открытом виде.Это означает, что злоумышленник может украсть ваш файл cookie (...) и выдать себя за вас в системе, даже не узнав вашего пароля.(Если я правильно помню, SPSv.3 также поддерживает встроенный модуль смены пароля...)
Так что я бы сказал, что это не великая идея, если только вас все равно не очень заботит эта система…Но тогда зачем вообще беспокоиться об аутентификации?просто сделать это анонимным?
Я согласен с AviD и Дэном Уильямсом в том, что защита только страницы входа в систему — не лучшая идея, поскольку она раскрывает другие данные после выхода со страницы пароля.Однако SSL можно потребовать только для страницы login.aspx через диспетчер IIS.Если вы перейдете на страницу login.aspx в диспетчере IIS (я полагаю, она находится под /_layouts
), вы можете щелкнуть правой кнопкой мыши отдельный файл и выбрать Properties
.Оттуда перейдите в File Security
вкладку и нажмите на Edit...
кнопка под Secure communications
.Там вы можете проверить Require secure channel (SSL)
поле, и SSL потребуется только для этой страницы.
Я не уверен в том, что пользователь вернется обратно на http, но считаю, что его поведение по умолчанию заключается в отправке вас на запрошенную страницу в случае успешного входа в систему.Если нет, я думаю, вы могли бы настроить, куда страница входа будет отправлять вас при успешном входе в систему.