这是我们迄今为止所做的:
1.设置SharePoint以对AD使用FBA
2.将登录页面移动到Secure / Login.aspx
3.在web.config中将相应的登录URL设置为https://..../Secure/Login.aspx
这不起作用,这里需要帮助。 但是,即使这样可行,我们如何让用户从https?
返回http答案 0 :(得分:3)
没有太多意义。如果唯一加密的是Login.aspx页面,那就意味着有人可以嗅探未通过登录页面发送的所有流量。
这可能会阻止用户获取用户:传递,但所有其他数据都会被曝光。
答案 1 :(得分:0)
除了暴露的所有数据以及可以在途中改变的用户操作之外,用户的会话ID(或其他认证数据)以明文形式发送。这意味着即使没有获取密码,攻击者也可以窃取您的cookie(...)并冒充您的身份。 (如果我没记错的话,SPSv.3也支持内置密码更改模块......)
所以我会说这不是一个好主意,除非你不关心那个系统。但是那么,为什么还要费心去做呢?只是让它匿名?
答案 2 :(得分:0)
我同意AviD和Dan Williams的观点,即仅保护登录页面不是一个好主意,因为它在离开密码页面后会公开其他数据。但是,您可以通过IIS Manger仅对login.aspx页面要求SSL。如果您导航到IIS管理器中的login.aspx页面(我相信它位于/_layouts下),您可以右键单击单个文件并选择Properties。在那里,转到File Security标签,然后点击Edit...下的Secure communications按钮。在那里,您可以查看Require secure channel (SSL)框,仅该页面需要SSL。
我不肯定让用户从那里回到http,但我相信它的默认行为是在登录成功时将您发送到请求的页面。如果没有,我认为您可以自定义登录页面成功登录后的位置。