0
Membership.ValidateUser(username、password)は、ログインが成功したか失敗したかを示すboolを返します。Asp.net Membership.ValidateUser()より具体的にすることはできますか?
パスワードまたは無効なユーザー名であった場合、どうすればわかりますか?
おかげ
A
答えて
0
かなり簡単にMembershipProvider.ValidateUser()を実行し、無効な場合はMembershipProvider.GetUser()メソッドを使用してユーザーを名前で検索できます。もしあなたが誰かを見つけたら、あなたは彼らのパスワードが間違っていると彼らに伝えることができます。
つまり、攻撃者に私のシステムに有効なユーザー名を設定する簡単な方法を与えたくありません。 YMMV。
+0
ありがとうございます。セキュリティホールを導入したくないので、私はそれに反対して決めました。そのトピックでは、VerifyNewUser()アクションメソッドでuser.GetPassword()を呼び出して、アカウントをアクティブにしてユーザーを自動的にログインさせたいと思っています。私は例外を受け取ります: "このメンバーシッププロバイダはパスワード取得をサポートするように構成されていません。" 私はこれを有効にすることができますが、別のセキュリティホールを紹介していますか? EDIT:httpリクエストでパスワードを渡すことは間違いないので、他のオプションは表示されません。 – parliament
+0
実際には、VerifyNewUser()アクションメソッド内でパスワードを取得するより良い方法があります。私は本当にハッシュ/塩のアプローチを保つことを好むだろうが、私はこの1つの方法で "GetPassword()"する必要があります。私はこの1つのコール= \多分httpを介して実際のハッシュ値を送信するためのシステムセキュリティ全体を妥協したくないのですか?お知らせ下さい。 – parliament
+0
あなたが承認するように設定しない限り、新しいユーザーがログインしていると思うので、そのパスワードを取得する必要はありません。 –
0
としては、ユーザーにその情報を明らかにすることは非常に大きなセキュリティホールで、上記のコメント。 それでも満足できない場合は、カスタムメンバーシッププロバイダを作成する必要があります。詳しくは、http://www.codeproject.com/Articles/13032/Custom-MembershipProvider-and-RoleProvider-Implemeを参照してください。
関連する問題
- 1. これはCSSでより具体的ですか?
- 2. は私がすることができ、より具体的になろうとするつもりだ
- 3. リストは、より具体的にHaskellの
- 4. Resize()をより具体的にしますか?
- 5. より具体的なタイプは、コンストラクタ
- 6. 要素セレクタはidセレクタよりも具体的ですか?
- 7. は、より具体的なHTTPコード「セバス・ブレーク・チェンジ」ですか?
- 8. ここでは具体的な数字
- 9. サーバはカール要求を具体的にブロックできますか?
- 10. ASP.NET MVC 5どうすれば具体的にSystem.NullReferenceExceptionsをキャッチしてビューにリダイレクトできますか?プログラムがクラッシュすることはありませんか?
- 11. IEをより具体的なエラーを表示するには?
- 12. は、どのように私はより具体的には
- 13. Mavenのテストとantのテスト(より具体的には)
- 14. トラブル表すと理解を持つことは具体的に
- 15. Google Places API:より具体的なタイプですか?
- 16. JavaScriptからHTMLを分離することはできませんか?具体的には
- 17. KeystoneJSより具体的なフィルタリング
- 18. より具体的な表現
- 19. `System.IO.Path`を具体的にするべきですか?
- 20. ASP.net MVC 4の具体的なルーティング
- 21. :even宣言をより具体的にする方法
- 22. node.js spawnを使用すると、より具体的なエラーメッセージを取得する方法はありますか?
- 23. 具体的なクラスをJavaで実装できますか?
- 24. スライドをクリックするとdivの切り替えができなくなります(具体的には9)
- 25. 実行時にJava(より具体的にはjavaw)のメモリを外部に変更できますか?
- 26. 具体的なサブクラスではなくjava.lang.Exceptionを捕まえることができますか?
- 27. サブタイプは、より具体的なタイプのコールバックを呼び出すことを「約束する」ことができますか?
- 28. より具体的ではなく、より具体的なものと競合する文を使用しない
- 29. Comboboxカスケーディングは、より具体的なcascadeFromオプションを必要とします
- 30. atomicCASを使用するよりも、より具体的なアトミック操作をいつ好むべきですか?
その情報をユーザーに明らかにすることは、かなり大きなセキュリティホールです。 – asawyer