Protéger la page Login

Question

Bonjour tout le monde,

Au cours d'un test technique préalable à une embauche, je me suis vu demander comment faire pour qu'un utilisateur ne puisse pas demander explicitement l'affichage de la page Login, mais que celle-ci apparaisse seulement pour s'authentifier avant l'affichage d'une page protégée.

Je dois bien avouer n'avoir aucune idée, d'une part de l'intérêt de la démarche, d'autre part de comment on la met en œuvre.

Comme j'ai dû passer un certain temps dernièrement sur la question du contrôle Login car le mien ne répondait plus comme prévu, j'ai l'impression que normalement ça aurait dû me rappeler ne serait-ce que l'intitulé d'un lien qui aurait défilé sous mes yeux, à défaut que j'aie lu ce qu'il y avait derrière.

Quelqu'un saurait-il m'éclairer ?

Answer 1

Bonjour Gloops

Si vous vérifies HttpRequest.UrlReferrer
http://msdn.microsoft.com/fr-fr/library/system.web.httprequest.urlreferrer.aspx
dans la page de login et s'il est vide vous faites la redirection vers une autre page?

Cordialement,

---

Aurel BERA, MSFT
MSDN Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE.
S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

Answer 2

Bonjour,

La question proposée par SHL ne précisait rien à ce propos.

Dans l'absolu, si il n'y a pas de référent le Login renvoie vers la page par défaut indiquée dans ses propriétés, et si il n'y en a pas l'utilisateur reste sur la page Login.

Dans le cadre de la question que je posais l'autre jour, où l'identification via MySqlMembershipProvider échouait à tous les coups, je faisais manuellement le test par validateuser, si le résultat était positif je déclenchais la connexion par :

            FormsAuthentication.RedirectFromLoginPage(user, isPersistent);
Dans ce cas, en cas d'absence de référent on se retrouvait sur la page default.aspx sous la racine. Comme ça ne me convenait pas, je faisais une redirection dans le Page_Load pour préciser une ReturnUrl.

Encore une fois, il n'y avait pas de mention précise de tout cela dans la question de SHL.

Toutefois, j'ai oublié les solutions proposées, mais elle n'incluaient pas celle que j'ai mise en œuvre chez moi ...

C'était des options à activer ou désactiver, je dirais bien dans le web.config, mais le souvenir commence un peu s'en estomper.

Answer 3

Bonjour Gloops

Je ne comprends très bien votre soucie.  Même si vous ne permettez pas l’accès directe vers la page de login, mais vous faites la redirection avant de permettre l'affichage d'une page protégée, si je copie http://monserveur/mapage_protegee.aspx et coller dans l'explorateur, ça vas toujours faire la redirection vers la page de login. Donc pas une bonne sécurité pour votre site.
Veuillez m’éclairer si je manque quelque chose, svp.

Cordialement,

---

Aurel BERA, MSFT
MSDN Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE.
S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

Answer 4

Bonjour,

Peut-être bien était-ce justement le sens de la question qui m'était posée.

Je n'ai pas l'impression d'avoir su y répondre, et ... on dirait bien que je n'ai pas su la transcrire ici non plus ?

Answer 5

Si vous pouvez revenir avec  des détails, sera mieux....

Cordialement,

---

Aurel BERA, MSFT
MSDN Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE.
S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

Answer 6

Bonjour,

Désolé d'être moins réactif cette semaine ...

C'est vrai que je peux à nouveau rencontrer cette question puisque j'ai déjà subi un test de la même société il y a environ deux ans.

Pour se rappeler des questions pour chercher des infos après coup, j'ai l'impression que la seule solution serait de faire des copies d'écran, il y a des logiciels pas mal pour ça comme PickPick par exemple.

Mais j'avoue qu'avant le test je n'y ai pas pensé, d'ailleurs j'essayais d'avoir un environnement d'aide chargé, et je rencontrais déjà des problèmes de performance de la machine.

Si jamais quelqu'un a l'occasion de se voir poser la même question, peut-être saura-t-il se rappeler les réponses proposées ...

Mais c'est vrai que se voir affecter une appréciation désobligeante dans le domaine de la sécurité pour ne pas avoir su répondre à cette question, après avoir passé plusieurs semaines à déboguer un MembershipProvider, c'est dommage.