|
|
 | Prompt for password
Fra : Finn Stampe Mikkelse~ |
Dato : 25-06-08 12:00 |
|
Hej
Er det ikke muligt, i givet fald hvordan, at lave en 'messagebox' der beder
om en text fra brugeren (password) og som vil kunne bruges i forbindelse med
en videre behandling i ASP scriptet..
Javascript har prompt, som dog ikke ser videre kønt ud, men dog virker...
Har ASP ikke noget lignende??
/Finn
| |
 Jørn Andersen (25-06-2008)
| Kommentar
Fra : Jørn Andersen |
Dato : 25-06-08 13:49 |
|
On Wed, 25 Jun 2008 13:00:11 +0200, "Finn Stampe Mikkelsen"
<stampe@city.dk> wrote:
>Er det ikke muligt, i givet fald hvordan, at lave en 'messagebox' der beder
>om en text fra brugeren (password) og som vil kunne bruges i forbindelse med
>en videre behandling i ASP scriptet..
Nej (ikke uden videre i hvertfald).
>Javascript har prompt, som dog ikke ser videre kønt ud, men dog virker...
>Har ASP ikke noget lignende??
ASP foregår på serveren, JScript på klienten (hos brugeren).
Når ASP på serveren har genereret en side, som er sendt til bruegren, så
skal der kaldes igen til serveren for at få en ny "interaktion".
Så du er nødt til *først* at checke password og derefter afvikle dit ASP
script på en ny side.
Good luck!
--
Jørn Andersen,
Brønshøj
| |
Finn Stampe Mikkelse~ (26-06-2008)
| Kommentar
Fra : Finn Stampe Mikkelse~ |
Dato : 26-06-08 08:52 |
|
"Jørn Andersen" <jorn@jorna.dk> wrote in message
news:1ff4641hvfiepv4lo34nbhui32atoud7p6@4ax.com...
> On Wed, 25 Jun 2008 13:00:11 +0200, "Finn Stampe Mikkelsen"
> <stampe@city.dk> wrote:
>
>>Er det ikke muligt, i givet fald hvordan, at lave en 'messagebox' der
>>beder
>>om en text fra brugeren (password) og som vil kunne bruges i forbindelse
>>med
>>en videre behandling i ASP scriptet..
>
> Nej (ikke uden videre i hvertfald).
>
>>Javascript har prompt, som dog ikke ser videre kønt ud, men dog virker...
>>Har ASP ikke noget lignende??
>
> ASP foregår på serveren, JScript på klienten (hos brugeren).
> Når ASP på serveren har genereret en side, som er sendt til bruegren, så
> skal der kaldes igen til serveren for at få en ny "interaktion".
>
Hej Jørn
Jeg er godt klar over, at ASP foregår serverside og Javascript er
clientside, så den problematik er jeg bekendt med. Det var heller ikke min
iden at lave et call til et jscript der gjorde jeg nævnte 'prompt', men
snarere for at anskuliggøre hvad jeg havde brug for. Jeg har dog fundet
forskellige forslag til at kalde jscript fra asp.
Jeg har også fundet et forslag til at implementere en msgbox i en asp side
og afvikle den, men det løser stadigt ikke mit problem med et ønske om en
dialogbox der popper op.
Jeg sidder og arbejder med noget helpdesk og pudsigt nok, så popper der ved
login her en sådan dialog op. Jeg kan dog ikke gennemskue, hvordan/hvorfor
netop den kommer... (Kig evt. her. : http://www.escdk.net/helpdesk) . Netop
sådan en dialogbox ville jeg gerne have op og udvinde data fra...
/Finn
| |
 Michael Weber (26-06-2008)
| Kommentar
Fra : Michael Weber |
Dato : 26-06-08 11:47 |
|
Finn Stampe Mikkelsen wrote:
> "Jørn Andersen" <jorn@jorna.dk> wrote in message
> news:1ff4641hvfiepv4lo34nbhui32atoud7p6@4ax.com...
>> On Wed, 25 Jun 2008 13:00:11 +0200, "Finn Stampe Mikkelsen"
>> <stampe@city.dk> wrote:
>>
>>> Er det ikke muligt, i givet fald hvordan, at lave en 'messagebox'
>>> der beder
>>> om en text fra brugeren (password) og som vil kunne bruges i
>>> forbindelse med
>>> en videre behandling i ASP scriptet..
>>
>> Nej (ikke uden videre i hvertfald).
>>
>>> Javascript har prompt, som dog ikke ser videre kønt ud, men dog
>>> virker... Har ASP ikke noget lignende??
>>
>> ASP foregår på serveren, JScript på klienten (hos brugeren).
>> Når ASP på serveren har genereret en side, som er sendt til
>> bruegren, så skal der kaldes igen til serveren for at få en ny
>> "interaktion".
>>
>
> Hej Jørn
>
> Jeg er godt klar over, at ASP foregår serverside og Javascript er
> clientside, så den problematik er jeg bekendt med. Det var heller
> ikke min iden at lave et call til et jscript der gjorde jeg nævnte
> 'prompt', men snarere for at anskuliggøre hvad jeg havde brug for.
> Jeg har dog fundet forskellige forslag til at kalde jscript fra asp.
>
> Jeg har også fundet et forslag til at implementere en msgbox i en asp
> side og afvikle den, men det løser stadigt ikke mit problem med et
> ønske om en dialogbox der popper op.
>
> Jeg sidder og arbejder med noget helpdesk og pudsigt nok, så popper
> der ved login her en sådan dialog op. Jeg kan dog ikke gennemskue,
> hvordan/hvorfor netop den kommer... (Kig evt. her. :
> http://www.escdk.net/helpdesk) . Netop sådan en dialogbox ville jeg
> gerne have op og udvinde data fra...
>
> /Finn
Faktisk et godt spørgsmål. :)
Den kommer via http-protokollen.
Prøv f.eks. følgende :
<%
Response.Status = "401 Unauthorized"
Response.AddHeader "WWW-Authenticate", "Basic"
%>
En artikel om hvordan man kan implementerer
det i ASP ( inkl. downloadable zip-fil på side 2) :
http://www.builderau.com.au/program/html/soa/Setting-up-directory-security-u
sing-ASP-and-IIS/0,339028420,339196443,00.htm
Http Authentication (Enkel):
http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html
(Scroll ned til 10.4.2 401)
Http Authentication (Specifikation) :
http://www.ietf.org/rfc/rfc2617.txt
--
Med venlig hilsen
Michael Weber, som blev lidt klogere på http-protokollen.
| |
Stig Johansen (26-06-2008)
| Kommentar
Fra : Stig Johansen |
Dato : 26-06-08 17:36 |
|
Michael Weber wrote:
> Finn Stampe Mikkelsen wrote:
>> Jeg sidder og arbejder med noget helpdesk og pudsigt nok, så popper
>> der ved login her en sådan dialog op. Jeg kan dog ikke gennemskue,
>> hvordan/hvorfor netop den kommer... (Kig evt. her. :
>> http://www.escdk.net/helpdesk) . Netop sådan en dialogbox ville jeg
>> gerne have op og udvinde data fra...
>>
>> /Finn
>
> Faktisk et godt spørgsmål. :)
> Den kommer via http-protokollen.
_Kommunikationen_ foregår via HTTP, men _den_ 'kommer fra' IIS.
Jeg har lagt et billede her fra config af min IIS(5.0/Win Adv 2K):
< http://w-o-p-r.dk/images/iisconfig.png>
Hvis man fjerner 'hakket' i Anonymous Access vil IIS afkræve credentials
jfr. de andre settings.
Men det kræver så at brugeren er oprettet på Win serveren.
Bemærk i øvrigt at Windows Integrated authentication muligvis kan medføre
problemer for alternative systemer/browsere, der ikke understøtter windows
NTLM authentication.
--
Med venlig hilsen
Stig Johansen
| |
Michael Weber (26-06-2008)
| Kommentar
Fra : Michael Weber |
Dato : 26-06-08 19:24 |
|
Stig Johansen wrote:
> Michael Weber wrote:
>
>> Finn Stampe Mikkelsen wrote:
>>> Jeg sidder og arbejder med noget helpdesk og pudsigt nok, så popper
>>> der ved login her en sådan dialog op. Jeg kan dog ikke gennemskue,
>>> hvordan/hvorfor netop den kommer... (Kig evt. her. :
>>> http://www.escdk.net/helpdesk) . Netop sådan en dialogbox ville jeg
>>> gerne have op og udvinde data fra...
>>>
>>> /Finn
>>
>> Faktisk et godt spørgsmål. :)
>> Den kommer via http-protokollen.
>
> _Kommunikationen_ foregår via HTTP, men _den_ 'kommer fra' IIS.
Mit ræsonnement var nu mere i retning af :
Når HTTP-klientens implementation af
HTTP-protokollen modtager en specifik form
for kommunikation, vil der, som konsekvens af dette,
vises en dialogbox. Dialogboxen er altså en konsekvens
af HTTP-klientens implementation af HTTP-protokollen.
Og det fik jeg kogt ned til....
Den kommer via http-protokollen.
--
Med venlig hilsen
Michael Weber
| |
Stig Johansen (26-06-2008)
| Kommentar
Fra : Stig Johansen |
Dato : 26-06-08 21:00 |
|
"Michael Weber" <michael@BLABLAmichaelweber.dk> wrote in message
news:4863dddc$0$15901$edfadb0f@dtext01.news.tele.dk...
> Stig Johansen wrote:
> > Michael Weber wrote:
> >
> >> Finn Stampe Mikkelsen wrote:
> >>> Jeg sidder og arbejder med noget helpdesk og pudsigt nok, så popper
> >>> der ved login her en sådan dialog op. Jeg kan dog ikke gennemskue,
> >>> hvordan/hvorfor netop den kommer... (Kig evt. her. :
> >>> http://www.escdk.net/helpdesk) . Netop sådan en dialogbox ville jeg
> >>> gerne have op og udvinde data fra...
> >>>
> >>> /Finn
> >>
> >> Faktisk et godt spørgsmål. :)
> >> Den kommer via http-protokollen.
> >
> > _Kommunikationen_ foregår via HTTP, men _den_ 'kommer fra' IIS.
>
> Mit ræsonnement var nu mere i retning af :
> Når HTTP-klientens implementation af
> HTTP-protokollen modtager en specifik form
> for kommunikation, vil der, som konsekvens af dette,
> vises en dialogbox. Dialogboxen er altså en konsekvens
> af HTTP-klientens implementation af HTTP-protokollen.
Det er sådan set også korrekt.
IIS sender disse her:
HTTP/1.1 401 Access Denied
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
WWW-Authenticate: Basic realm="mcp"
Det får browseren til at lave den omtalte logon box, og den sender så disse
her:
GET http://mcp:10075/wopr HTTP/1.0
Authorization: Basic nixenbixen==
Problemet er, at informationerne i headeren 'Authorization' ikke er
tilgængelig i ASP, og spørgsmålet er så om LOGON_USER overhovedet bliver sat
ved en simuleret authentication.
Men Finn efterspørger passwordet, som er en sag mellem browseren og IIS.
--
Med venlig hilsen/Best regards
Stig Johansen
| |
Michael Weber (26-06-2008)
| Kommentar
Fra : Michael Weber |
Dato : 26-06-08 22:52 |
|
Stig Johansen wrote:
> "Michael Weber" <michael@BLABLAmichaelweber.dk> wrote in message
> news:4863dddc$0$15901$edfadb0f@dtext01.news.tele.dk...
>> Stig Johansen wrote:
>>> Michael Weber wrote:
>>>
>>>> Finn Stampe Mikkelsen wrote:
>>>>> Jeg sidder og arbejder med noget helpdesk og pudsigt nok, så
>>>>> popper der ved login her en sådan dialog op. Jeg kan dog ikke
>>>>> gennemskue, hvordan/hvorfor netop den kommer... (Kig evt. her. :
>>>>> http://www.escdk.net/helpdesk) . Netop sådan en dialogbox ville
>>>>> jeg gerne have op og udvinde data fra...
>>>>>
>>>>> /Finn
>>>>
>>>> Faktisk et godt spørgsmål. :)
>>>> Den kommer via http-protokollen.
>>>
>>> _Kommunikationen_ foregår via HTTP, men _den_ 'kommer fra' IIS.
>>
>> Mit ræsonnement var nu mere i retning af :
>> Når HTTP-klientens implementation af
>> HTTP-protokollen modtager en specifik form
>> for kommunikation, vil der, som konsekvens af dette,
>> vises en dialogbox. Dialogboxen er altså en konsekvens
>> af HTTP-klientens implementation af HTTP-protokollen.
>
> Det er sådan set også korrekt.
> IIS sender disse her:
> HTTP/1.1 401 Access Denied
> WWW-Authenticate: Negotiate
> WWW-Authenticate: NTLM
> WWW-Authenticate: Basic realm="mcp"
>
> Det får browseren til at lave den omtalte logon box, og den sender så
> disse her:
> GET http://mcp:10075/wopr HTTP/1.0
> Authorization: Basic nixenbixen==
>
> Problemet er, at informationerne i headeren 'Authorization' ikke er
> tilgængelig i ASP, og spørgsmålet er så om LOGON_USER overhovedet
> bliver sat ved en simuleret authentication.
Ja, hvis man køre NTLM.
> Men Finn efterspørger passwordet, som er en sag mellem browseren og
> IIS.
Hvis han køre NTLM har han ikke behov for password,
for på det tidspunkt man evt. kunne "fiske" passwordet ud,
er man jo logget ind.
Med denne opsætning :
http://w-o-p-r.dk/images/iisconfig.png
virker dette i Opera 9.01, Firefox 2 og IE :
<%
if Request.ServerVariables("LOGON_USER") = "" then
Response.Status = "401 Unauthorized"
else
Response.Write "Logget ind"
end if
%>
Ulempen er jo bare lige at man skal have adgang til serveren for at
oprette brugerne.
Hvis man derimod i denne opsætning :
http://w-o-p-r.dk/images/iisconfig.png
bruger Basic, kan man
"fiske" password/bruger ud via :
Request.ServerVariables("AUTH_PASSWORD")
Request.ServerVariables("AUTH_USER")
Men så sendes password/bruger i klartekst.
(Så skal man nok gøre det over en ssl-forbindelse)
--
Med venlig hilsen
Michael Weber
| |
Stig Johansen (27-06-2008)
| Kommentar
Fra : Stig Johansen |
Dato : 27-06-08 06:15 |
|
Michael Weber wrote:
> Ulempen er jo bare lige at man skal have adgang til serveren for at
> oprette brugerne.
Det var det jeg mente med 'simuleret authentication'.
Det lød ikke på Finn's indlæg som om han ville køre brugerstyring på
Windows, men i sine ASP script's.
> Hvis man derimod i denne opsætning :
> http://w-o-p-r.dk/images/iisconfig.png
> bruger Basic, kan man
> "fiske" password/bruger ud via :
>
> Request.ServerVariables("AUTH_PASSWORD")
> Request.ServerVariables("AUTH_USER")
Det gør den sørme også på min server. Jeg synes ellers jeg havde testet og
kigget inden jeg svarede, men åbenbart ikke kigget godt nok efter.
> Men så sendes password/bruger i klartekst.
Base64 encoded, men det er vel også en slags klar tekst.
> (Så skal man nok gøre det over en ssl-forbindelse)
Det kommer vel an på ens paranoia tærskel, og hvilke data der er tale om.
<a true story>
For 25+ år siden skulle vi have nogle direkte ledninger ud til
Værdipapircentralen. Så vidt jeg husker så var det BSC eller SLDC trafik.
Der var så det her kloge hovede, der påpegede, at man havde mulighed for at
aflytte transaktionerne på kobberlinierne.
Godt så - jeg spurgte ham om hvordan han havde tænkt sig at gøre det.
.... Længere dillerdaller forklaring...
Så fortalte jeg ham, at ledningerne kom ud ca 1M under fortovet foran en
fredet bygning i Admiralgade, så hvordan han ville brække fortov/brosten op
og grave et hul - uopdaget - forblev ubesvaret.
End of line!
</a true story>
Moralen er, at det er teknisk muligt at aflytte transaktionerne, men det
kræver logisk/fysisk adgang, som nok ikke er ligetil.
--
Med venlig hilsen
Stig Johansen
| |
Finn Stampe Mikkelse~ (27-06-2008)
| Kommentar
Fra : Finn Stampe Mikkelse~ |
Dato : 27-06-08 09:12 |
|
"Stig Johansen" <wopr.dk@gmaill.com> wrote in message
news:48647784$0$90262$14726298@news.sunsite.dk...
> Michael Weber wrote:
>
>> Ulempen er jo bare lige at man skal have adgang til serveren for at
>> oprette brugerne.
>
> Det var det jeg mente med 'simuleret authentication'.
> Det lød ikke på Finn's indlæg som om han ville køre brugerstyring på
> Windows, men i sine ASP script's.
>
Hej
Jeg vil lige præcisere hvad det var jeg havde brug for...
Jeg havde brug for at kunne prompte en bruger for credentials, som i givet
fald skulle bruge til en ImpersonateLoggedOnUser. Jeg kunne ikke finde
mulighed for at lave en sådan i ASP og desværre er ASP.NET ikke en option.
Der er tale om 'second-hand' programmering, hvor der rettes til i
eksisterende koder....
Det har siden vist sig muligt, at køre det, således at den logon der sker
ved første adgang til HelpDesk'en faktisk kører op imod Active Directory
credentials og at asp scriptet ikke kørte i IIS'ens anonyme user. Derfor
forholder scriptet sig imod forventning korrekt i forhold til de opsatte
skrive rettigheder der er sat for folderen og der er derfor ingen
sikkerhedsbrister...
Men emnet fascinerer mig, omend jeg dog ikke 100% kan gennemskue de indlæg
(referencer) der er kommet...
/Finn
| |
Michael Weber (27-06-2008)
| Kommentar
Fra : Michael Weber |
Dato : 27-06-08 22:02 |
|
Finn Stampe Mikkelsen wrote:
> Men emnet fascinerer mig, omend jeg dog ikke 100% kan gennemskue de
> indlæg (referencer) der er kommet...
Kunne du prøve at konkretiserer,
hvad det er, du ikke kan gennemskue ?
Er det noget vedr. indholdet af referencerne eller
hvordan du skal få passet referencerne ind i
en større sammenhæng...eller noget trejde?
Jeg kan ikke lige gennemskue, hvad du ikke kan gennemskue.
:)
--
Med venlig hilsen
Michael Weber
| |
Finn Stampe Mikkelse~ (27-06-2008)
| Kommentar
Fra : Finn Stampe Mikkelse~ |
Dato : 27-06-08 22:58 |
|
"Michael Weber" <michael@BLABLAmichaelweber.dk> skrev i meddelelsen
news:48655461$0$15885$edfadb0f@dtext01.news.tele.dk...
> Finn Stampe Mikkelsen wrote:
>> Men emnet fascinerer mig, omend jeg dog ikke 100% kan gennemskue de
>> indlæg (referencer) der er kommet...
>
>
> Kunne du prøve at konkretiserer,
> hvad det er, du ikke kan gennemskue ?
>
> Er det noget vedr. indholdet af referencerne eller
> hvordan du skal få passet referencerne ind i
> en større sammenhæng...eller noget trejde?
>
Hej
Jeg kan ikke omsætte det til noget brugbart kode... Men har desværre heller
ikke haft for meget tid til at kigge det detaljeret igennem endnu...
/Finn
| |
Stig Johansen (28-06-2008)
| Kommentar
Fra : Stig Johansen |
Dato : 28-06-08 06:41 |
|
Finn Stampe Mikkelsen wrote:
> Jeg kan ikke omsætte det til noget brugbart kode... Men har desværre
> heller ikke haft for meget tid til at kigge det detaljeret igennem
> endnu...
Spørgsmålet er om ikke du har fået løst dit problem?
ImpersonateLoggedOnUser er et Windows API, som jeg tvivler stærkt på man har
adgang til i ASP.
Men som du selv har observeret så laver IIS'en selv en
ImpersonateLoggedOnUser behind the scene, så det er vel ok ?
Hvis det er din(jeres) egen server, og du har mod på det, og vil lave flere
'narrestreger', så kan du lave noget ISAPI filter programmering.
--
Med venlig hilsen
Stig Johansen
| |
Michael Weber (28-06-2008)
| Kommentar
Fra : Michael Weber |
Dato : 28-06-08 12:34 |
|
Stig Johansen wrote:
> Finn Stampe Mikkelsen wrote:
>
>> Jeg kan ikke omsætte det til noget brugbart kode... Men har desværre
>> heller ikke haft for meget tid til at kigge det detaljeret igennem
>> endnu...
>
> Spørgsmålet er om ikke du har fået løst dit problem?
Man kunne forestille sig en situation, hvor kun en delmængde af de,
der _kan_ logge sig ind, må afvikle dele af et script.
I så fald skal man have del-mængdens brugernavne og tjekke dem mod
Request.Servervariables("LOGON_USER").
LOGON_USER er en streng indeholdende domæne og navn f.eks.:
"COPYLEFT\Michael"
Så vidt jeg ved er kollision på domæne\brugernavn, i.e. to brugere med samme
brugernavn i samme domæne, ikke muligt qua AD,
så LOGON_USER burde være nok, til at identificerer en unik bruger.
Som et lille illustrativt eksempel på en win2k :
Min computer(domæne) hedder COPYLEFT og jeg logger ind
med brugernavnet "Michael". I min opsætning er det også muligt at
logge ind anonymt med brugernavnet "COPYLEFT", så LOGON_USER
bliver til "COPYLEFT\COPYLEFT".
Jeg kan så i et script lave følgende :
<%
' hvis anonym bruger...
if Request.Servervariables("LOGON_USER") = "COPYLEFT\COPYLEFT" then
Response.Status = "401 Unauthorized"
end if
Response.Write "LOGON_USER : " & Request.Servervariables("LOGON_USER")
%>
Når jeg så logger ind med min Windows-konto, udskrives :
LOGON_USER : COPYLEFT\Michael
I stedet for, som i mit eksempel, kan man jo så tjekke LOGON_USER mod
en database/session-variabel.
--
Med venlig hilsen
Michael Weber
| |
Finn Stampe Mikkelse~ (28-06-2008)
| Kommentar
Fra : Finn Stampe Mikkelse~ |
Dato : 28-06-08 13:34 |
|
"Michael Weber" <michael@BLABLAmichaelweber.dk> skrev i meddelelsen
news:486620d2$0$15896$edfadb0f@dtext01.news.tele.dk...
> Stig Johansen wrote:
> Jeg kan så i et script lave følgende :
>
> <%
>
> ' hvis anonym bruger...
> if Request.Servervariables("LOGON_USER") = "COPYLEFT\COPYLEFT" then
> Response.Status = "401 Unauthorized"
> end if
>
> Response.Write "LOGON_USER : " & Request.Servervariables("LOGON_USER")
>
> %>
>
> Når jeg så logger ind med min Windows-konto, udskrives :
> LOGON_USER : COPYLEFT\Michael
> I stedet for, som i mit eksempel, kan man jo så tjekke LOGON_USER mod
> en database/session-variabel.
>
>
> --
> Med venlig hilsen
> Michael Weber
>
Hej Michael
Tak for script... Hvad jeg har indset er, at asp-siden ikke kører anonymt,
som jeg først antog. Det var et tilfælde af ikke se skoven for bare træer.
Som jeg mener at have opfattet det nu, så kommer det prompt der kan opleves
på det link jeg gav som følge af den første reguest for LOGON_USER og
herefter kører scriptet med dennes rettigheder. Dette havde jeg ellers læst
mig til at det ikke gjorde, men det var en anden fejl der gjorde jeg fik
afvist min skrivning i den pågældende folder...
Kunne dog være interessant om man kunne fremprovokerer en fornyet prompt.
Altså kunne foretage en logoff -> logon, for at verificerer denne bruger
påny. Det kan man sikkert og det vil lidt studering af det linkede materiale
måske kunne afsløre noget om...
/Finn
| |
Finn Stampe Mikkelse~ (28-06-2008)
| Kommentar
Fra : Finn Stampe Mikkelse~ |
Dato : 28-06-08 12:38 |
|
"Stig Johansen" <wopr.dk@gmaill.com> skrev i meddelelsen
news:4865cf23$0$90266$14726298@news.sunsite.dk...
> Finn Stampe Mikkelsen wrote:
>
>> Jeg kan ikke omsætte det til noget brugbart kode... Men har desværre
>> heller ikke haft for meget tid til at kigge det detaljeret igennem
>> endnu...
>
> Spørgsmålet er om ikke du har fået løst dit problem?
> ImpersonateLoggedOnUser er et Windows API, som jeg tvivler stærkt på man
> har
> adgang til i ASP.
> Men som du selv har observeret så laver IIS'en selv en
> ImpersonateLoggedOnUser behind the scene, så det er vel ok ?
>
> Hvis det er din(jeres) egen server, og du har mod på det, og vil lave
> flere
> 'narrestreger', så kan du lave noget ISAPI filter programmering.
>
Hej Stig
Jeg har løst problemet på anden vis. Skulle nemlig være løst senest igår
fredag...
Jeg har forsøgt at lave en DLL med noget ImpersonateLoggedInUser, som
beskrevet på MSDN, men kan ikke registrere dll'en på serveren. Løsningen på
dette skulle være en ominstallation og det var ikke i kortene...
Jeg vil prøve at kigge de ting igennem der er lagt link til og se om jeg kan
forstå det og lege med det efter ferien. Jeg vil gerne lære hvordan jeg evt.
en anden gang ikke står i en lignende situation...
Det er egen server, så ISAPI filter programmering var ikke utænkelig, men
det har jeg heller ikke arbejdet med før....
/Finn
| |
Michael Weber (27-06-2008)
| Kommentar
Fra : Michael Weber |
Dato : 27-06-08 22:17 |
|
Stig Johansen wrote:
> Det gør den sørme også på min server. Jeg synes ellers jeg havde
> testet og kigget inden jeg svarede, men åbenbart ikke kigget godt nok
> efter.
Tjae, et flue-ben hid og did og tingene virker ikke.
>
>> Men så sendes password/bruger i klartekst.
>
> Base64 encoded, men det er vel også en slags klar tekst.
Tjoe, det er ihvertfald den terminologi der bruges i specifikationen og som
jeg adopterer.
>
>> (Så skal man nok gøre det over en ssl-forbindelse)
>
> Det kommer vel an på ens paranoia tærskel, og hvilke data der er tale
> om.
Det er nok bedre at erkende at man ikke behøver så meget sikkerhed
end at erkende man havde brug for meget sikkerhed.
>
> <a true story>
> For 25+ år siden skulle vi have nogle direkte ledninger ud til
> Værdipapircentralen. Så vidt jeg husker så var det BSC eller SLDC
> trafik. Der var så det her kloge hovede, der påpegede, at man havde
> mulighed for at aflytte transaktionerne på kobberlinierne.
> Godt så - jeg spurgte ham om hvordan han havde tænkt sig at gøre det.
> ... Længere dillerdaller forklaring...
> Så fortalte jeg ham, at ledningerne kom ud ca 1M under fortovet foran
> en fredet bygning i Admiralgade, så hvordan han ville brække
> fortov/brosten op og grave et hul - uopdaget - forblev ubesvaret.
> End of line!
> </a true story>
>
> Moralen er, at det er teknisk muligt at aflytte transaktionerne, men
> det kræver logisk/fysisk adgang, som nok ikke er ligetil.
Jeg kommer af en eller anden mærkelig grund
til at tænke på filmen "Olsen-Banden derud a´".
Samtidighed personificeret.
:)
--
Med venlig hilsen
Michael Weber
| |
|
|