Hej!
Sätter upp säkerheten för en webapplikation som ska användas internt i ett företagsnät. Använder ActiveDirectoryMembership-providern för att kontrollera inloggningar mot Active Directory. Användarna kommer alltså att använda sitt windows login i denna applikation. Hur ska jag nu sätta upp säkerheten. Har satt protection="All" på form taggen i Web.config vilket väl innebär att cookien krypteras? Vad innehåller egentligen cookien? Behöver jag använda SSL och isåfall hur sätter jag upp det? Något annat som jag bör tänka på?

MVH
/ Stefan

Blir inte det lite kaka på kaka? Är det inte bättre att använda sig av user.isinrole och windowsidentity.getcurrent().name. Sen sätter du tillåtelser på anvnamn eller grupp

Tjena Hans!
Anledningen till detta är att det ska vara möjligt att kunna byta till en annan användare än den som är inloggad i windows.
Eller hur menar du?
Jag sätter behörighet på enskilda sidor/mappar i web.config och använder sen azman för behörighet mot AD. Sätter på gruppnivå.

Hej Stefan du gör rätt.

Kakan är krypterad när den kommer till klienten men lösningen är lite öppen för replay attacker och för interception av anvädnarnamn / lösenord vid inloggningstillfället.

Enklaste sättet att lösa det på är som du säger med SSL och få en krypterad tunnel mellan klient och server. SSL sätter du upp genom att importera ett certifikat till siten. Jag har inte exakta detaljer i huvudet men du borde kunna hitta det i hjälpen för IIS.

Om de sitter på samma nät så är ett annat alternativ att slå på Windows Integrated Security på websiten och lägga till urlen till siten i trusted sites på de maskiner som skall accessa den (det görs enklast med en group policy från domänen). Sen använder du dig av windows authentication i webbapplikationen och slipper allt var inloggning heter (så länge man accessar siten med IE från en Windows maskin förstås).

Hej Patrik!
Tack för svaret.
"Sen använder du dig av windows authentication i webbapplikationen och slipper allt var inloggning heter"

* Har jag då möjlihet att byta användare? Det ska vara möjligt att vara inloggad som kalle i windows, men att i applikationen klicka på "byt användare" och logga in som någon annan.

* En annan fråga som jag funderar på. Sätter som sagt upp behörighet i Web.Config på mapp eller sidnivå. Skriver ungefär såhär:
<location path="Mapp1"
<system.web>
<authorization>
<allow roles="Grupp1"/>
<deny users="*"/>
</authorization>
</system.web>
</location>

om jag då har en undermapp till Mapp1 som heter Mapp2 och jag vill att den ska kräva mer behörighet så vill jag skriva nå´t i stil med:

<location path="Mapp1/Mapp2">
<system.web>
<authorization>
<allow roles="Admin"/>
<deny users="*"/>
</authorization>
</system.web>
</location>

Problemet nu är att det övre "location-taggen" slår igenom för mapp2 också. Borde inte den undre konfigurartion överrida den övre för Mapp2?


* Alla användare sitter inom samma domän o nät. Bör jag endå ha SSL? Hur skickas användarnamn och lösenord vid inloggningstillfället. Plain text?

Med Vänliga Hälsningar
/ Stefan

Nej det blir svårt att enkelt logga in som en annan användare.

Det går men du får själv skriva logiken för att logga in den nya användaren.

Det du kommer att få i den underliggande mappen är intersektionen av alla rättigheter uppåt i hierakin. Dvs två allows och en deny.

För att ta bort de roller som lagts till innan bör du kunna lägga till <deny roles="*" /> men jag är osäker., kan hända att du måste göra en <remove /> eller <clear /> eller liknande också.

Om du bara kommer att ha inloggningar mot applikationen i ett slutet nät så behöver du inte vara lika noga med SSL. Det beror på företagets storlek och hur känslig applikationen är. För att sniffa inloggningsförfarandet behöver ju den som attackerar sitta på ditt nät och då har ni troligtvis större problem än en enskild applikations säkerhet.

Tack för svaret Patrik!
Angående ev. sniffning av inloggningen. Vad är det för information som kan röjas. Både inloggningsnamn & lösenord? Vad innehåller cookien, bara inloggningsnamn eller även lösenord?

Råkade göra fel angående roller i submappar. Det funkar som vanligt, dvs utan <deny roles="*" /> eller liknande.

Med Vänliga Hälsningar
/ Stefan

Det som kan sniffas är både användarnamn och lösenord vi inloggningstillfället.

Cookien innehåller krypterad information om användarnamn och roller.