:strip_exif()/u/75210/eryciussmallava.gif?f=community)
Situatieschets: we hebben hier een website (recente IIS server waarop we enkele ASP toepassingen draaien) waar onze users op kunnen inloggen dmv Shibboleth, en we hebben dus een vrij goeie loginarchitectuur.
Nu hebben wij een heleboel contracten met andere sites waar onze users toegang krijgen tot beperkte informatie. Sommige van die sites eisen dat die users gewoon via ons IP adres naar de site surfen, wat geen probleem geeft voor mij, we hebben zelfs een proxyserver opgezet waarop onze users kunnen inloggen om zo van thuis uit op de beveiligde delen van die sites te raken.
Enkele sites echter geven ons gewoon een login en paswoord, met de mededeling: "enkel jullie users mogen dat paswoord gebruiken om op onze beveiligde site te komen" Dat is natuurlijk om problemen vragen vanwege die organisaties, maar toch zou ik hieraan willen gevolg geven, als dat al mogelijk is.
Is er een manier om er voor te zorgen dat users die op onze site geauthenticeerd zijn te laten inloggen op externe sites zonder dat ze het paswoord kunnen achterhalen?
Uiteraard werkt
niet, een simpele "view source" en de user heeft het paswoord in handen die hij aan iemand anders zou kunnen geven.
Ik zou denken server-side in te loggen, maar dan is de sessie op onze webserver ipv op de browser van de users, niet?
Nu hebben wij een heleboel contracten met andere sites waar onze users toegang krijgen tot beperkte informatie. Sommige van die sites eisen dat die users gewoon via ons IP adres naar de site surfen, wat geen probleem geeft voor mij, we hebben zelfs een proxyserver opgezet waarop onze users kunnen inloggen om zo van thuis uit op de beveiligde delen van die sites te raken.
Enkele sites echter geven ons gewoon een login en paswoord, met de mededeling: "enkel jullie users mogen dat paswoord gebruiken om op onze beveiligde site te komen" Dat is natuurlijk om problemen vragen vanwege die organisaties, maar toch zou ik hieraan willen gevolg geven, als dat al mogelijk is.
Is er een manier om er voor te zorgen dat users die op onze site geauthenticeerd zijn te laten inloggen op externe sites zonder dat ze het paswoord kunnen achterhalen?
Uiteraard werkt
HTML:
1
2
3
4
5
| <form id="form" name="form" method="post" action="www.externewebsite.com/login.php"> <input type="hidden" name="paswoord" value="eenpaswoord" /> <input type="hidden" name="login" value="eenlogin" /> <input type="submit" name="Submit" value="Naar Externe Site" /> </form> |
niet, een simpele "view source" en de user heeft het paswoord in handen die hij aan iemand anders zou kunnen geven.
Ik zou denken server-side in te loggen, maar dan is de sessie op onze webserver ipv op de browser van de users, niet?
Bloemen scheiden het gras in de tuin.
/u/44276/got_icon5.png?f=community)
/u/8680/crop67b363025f8f9_cropped.png?f=community)
:strip_icc():strip_exif()/u/116726/crop5e3ee297a8a03_cropped.jpeg?f=community)
:strip_exif()/u/337/witcher_60x60.gif?f=community)