16 messaggi dal 28 agosto 2001
In IIS 5 e 4 con adsi all'indirizzo http://nomeserver/iisadmpwd/aexp.htr risponde una pagina che "dovrebbe permettere" la modifica della password via web browser agli utenti del sistema . Data la pericolosita` relativa alla sicurezza di questa pratica . il web server richede un po` di cose , ad es. che il client abbia le codifiche attivate, che il server disponga di certificati, ecc.
Tuttavia la pagina alla quale il form redirige e` la "_AuthChangeUrl?<%urlparam%>"
che sembra che non venga trovata o che comunque da errori.
Qualcuno mi saprebbe dire di che si tratta ? Sono 5 giorni che ci sbatto la testa   .
Ogni suggerimento sara` piu` che bene accetto
Grazie


" I? ve always felt since I was small... that I was different from the others. Special, in some way. But... not like this... Am I... human? "

" I' ve always felt since I was small... that I was different from the others. Special, in some way. But... not like this... Am I... human? "
semplicemente: togli quella directory condivisa, come /scripts/, /iishelp/, /mdac/ etc.

in questo modo eviti che il tuo web server sia vulnerabile a worm vari (vedi Code Red) che sfruttano proprio dimenticanze come queste.

--
Daniele Bochicchio
<b>Content manager di http://www.aspitalia.com</b>
http://store.aspitalia.com/scheda.asp?codice=255
ASP 3 per esempi - il mio libro

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
16 messaggi dal 28 agosto 2001
Credo di essermi espresso male in effetti. Vorrei farlo funzionare quel servizio di modifica password al di la dei problemi di sicurezza che puo` dare .


" I? ve always felt since I was small... that I was different from the others. Special, in some way. But... not like this... Am I... human? "

" I' ve always felt since I was small... that I was different from the others. Special, in some way. But... not like this... Am I... human? "
in questo caso, ti conviene utilizzare qualcosa che utilizzi ADSI, che ha una gestione migliore rispetto agli .htr, di cui microsoft consiglia fortemente l'abbandono.

domanda: ma sei su IIS4, vero?

--
Daniele Bochicchio
<b>Content manager di http://www.aspitalia.com</b>
http://store.aspitalia.com/scheda.asp?codice=255
ASP 3 per esempi - il mio libro

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
16 messaggi dal 28 agosto 2001
No sono su win2000 server e quindi con IIS 5,
(forse 5.1 perchè c'è anche l' sp2) .
Quindi c'è tutto il supporto adsi che si possa desiderare già incluso . Credo tuttavia che il malfunzionameto dipenda dall'autentication manager di IIS che vuole un pò di cose per funzionare che non ho ancora ben identificato . Vorrei quindi qualche notizietta su quest'ultimo visto che è lui che sbarra la strada alla procedura di cui sopra (sulla quale lavoro da un mesetto ormai).
Ho creato anche delle procedure fatte da me ma visto che c'è già pronto e "gratis" perchè non approfittarne.

" I? ve always felt since I was small... that I was different from the others. Special, in some way. But... not like this... Am I... human? "

" I' ve always felt since I was small... that I was different from the others. Special, in some way. But... not like this... Am I... human? "
capisco.

mai utilizzato qualcosa del genere.

viceversa, con ADSI puoi fare in modo che da una pagina web si possa gestire interamente un server NT/2000 con annesso dominio ed utenti/permessi.

capisco che il fatto che sia già pronto è un vantaggio, ma se riesci a farlo da solo, potresti avere un po' più di flessibilità e di sicurezza.

--
Daniele Bochicchio
<b>Content manager di http://www.aspitalia.com</b>
http://store.aspitalia.com/scheda.asp?codice=255
ASP 3 per esempi - il mio libro

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
16 messaggi dal 28 agosto 2001
Si ma non so come fare logare gli utenti del dominio interamente via browser web per permettergli di cambiare la password attraverso una procedura personalizzata.

L'alternativa da me studiata ,non molto sicura in verità, è di creare una pagina che permetta di identificare l'utente senza con questo logarlo nel dominio ( Ad esempio richiedendo user e pass e nuova pass all'utente tramite un form, dopodichè si richiede al sys tutto l'elenco degli utenti e si scartano tutti quelli che non combaciano coi dati immessi nel form ).
A questo punto si cambiano user e pass .
Tutto questo però funziona solo se lo script in questione gira nel contesto administrator se non sbaglio cosa che è ampiamente sconsigliabile dal punto di vista della sicurezza . Mi sapreste consigliare ?     . Grazie comunque dell'aiuto finora dato


P.S.Cmq sono partito un mese fa proprio dagli oggetti adsi e se interessano le istruzioni x utilizzare questo dannato servizio si trovano sulla kb della microsoft al Q184619 all'indirizzo http://support.microsoft.com/support/kb/articles/Q184/6/19.ASP .
P.P.S. :ho provato anche consultare il sito www.15seconds.com sulla sezione di adsi ma tutto riporta sempre alla microsoft.



" I? ve always felt since I was small... that I was different from the others. Special, in some way. But... not like this... Am I... human? "

" I' ve always felt since I was small... that I was different from the others. Special, in some way. But... not like this... Am I... human? "
dovresti prima di tutto far autenticare, con l'autenticazione integrata di Win, l'utente.

crei un oggetto COM, da far girare nel contesto admin, che facci effettivamente le modifiche.

in questo modo è molto semplice e sicuro, perchè cmq l'utente è loggato direttamente e non tramite una form. meglio ancora se tutto questo, specie se va su un sito internet, viene protetto con una chiave SSL

--
Daniele Bochicchio
<b>Content manager di http://www.aspitalia.com</b>
http://store.aspitalia.com/scheda.asp?codice=255
ASP 3 per esempi - il mio libro

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.