net dinamico change asp asp.net html security login

asp.net - dinamico - iframe src vb net



Inicio de sesiĆ³n de SSL en iFrame (3)

El prototipo de mi interfaz de usuario requiere que muestre la información de inicio de sesión de los sitios todo el tiempo. O debería mostrar el cuadro de texto habitual de usuario y contraseña o "has iniciado sesión como". El último bit no tiene que ser seguro, ya que es solo información para el usuario, nada que use del lado del servidor. Pero la primera parte debe enviarse segura al servidor.

Parece que tendría que usar https para todas las páginas en el sitio entonces. Me gustaría usar ssl solo para las cosas que se requieren para estar seguro.

Una forma es poner la información de inicio de sesión en un https: //../login.aspx y mostrarla en mi página principal como un IFrame.

Una desventaja que puedo ver es que el usuario no sabrá que se está usando https, a menos que lea el código IFrame en el código fuente.

¿Qué piensas?


Has golpeado los principales problemas. Desea el inicio de sesión, que debe estar en cada página para usar SSL, pero no desea que toda la página sea SSL.

Esto es más una decisión de negocios en este punto que cualquier otra cosa. ¿Prefiere que sus clientes se sientan más seguros acerca de visitar su sitio, o desea que la información de inicio de sesión esté presente en cada pantalla?

Si necesita tener ambos, es posible que también deba considerar hacer que todo su sitio sea SSL.


Otra opción sería aprovechar la propiedad PostBackUrl del control Button.

Tendría que crear su propio inicio de sesión LayoutTemplate para aprovechar esto sin embargo. Luego, podría agregar el esquema seguro a la URL de la página actual y establecer la propiedad PostBackUrl del botón Enviar a eso.

Esto tendría problemas similares a su solución iFrame (el usuario no vería los símbolos de candado), sin embargo, tendría la ventaja de que no estaría utilizando iFrames.

Otro problema al utilizar un iFrame es los efectos que pueden tener en la página:

  • Son una solicitud por separado, pero pueden causar un bloqueo en la activación del evento JavaScript PageLoad.
  • El formulario de inicio de sesión solo sería una devolución de datos dentro de iFrame, por lo que necesitaría actualizar la página principal cuando el usuario haya iniciado sesión correctamente para eliminarla.
    • Además de eso, los errores se devolverán en el iFrame, probablemente sin dejar demasiado espacio para mostrar el formulario, etc.

¿Estás usando los controles de inicio de sesión de asp.net integrados o solo usas dos controles de cuadro de texto?

Puede usar su propia etiqueta de formulario (no runat = "servidor") con el atributo de acción establecido en "https: // ..." y solo use dos etiquetas de entrada html y un botón para iniciar sesión.

De nuevo, esto no mostraría al usuario que las credenciales son seguras al iniciar sesión.

Debido a algunos ataques SSL descubiertos recientemente, siempre es preferible también poner el formulario de inicio de sesión en una página https: //. De lo contrario, un pirata puede interceptar la secuencia http y cambiar la acción de su formulario de "https: // ..." a "http: // ..." y luego oler las credenciales.