none
Webサイト管理ツールで、「セキュリティの質問」が表示されません。 RRS feed

  • 質問

  • 現在Microsoft VWDを使って、ログイン処理のあるアプリケーションを作っています。

    ユーザーがパスワードを忘れた時の対策として、PasswordRecoveryコントロールを実装しようと思いましたが、

    上手くいきません。

    「セキュリティの質問」が設定されていなかったのが問題と思い、

    Webサイト管理ツールからユーザーを編集して設定しようと思いましたが、何故だかそれがありません。

    ※「セキュリティの回答」ももちろんありません。

    これを利用するにはどこかで設定を行うなど、条件が必要なのでしょうか。

    ちなみに、CreateUserWizardについてはVWDでの編集時には2つとも表示されていますが、

    実際にサイトを立ち上げると表示されなくなってしまいます。

    • 編集済み joynus 2012年8月2日 6:16
    2012年8月2日 6:12

回答

  • セキュリティの質問を使うかどうはweb.configの設定で指定できます。
    メンバーシップ関係のコントロールは設定に応じて自動で項目の表示/非表示を行いますので、まず設定を疑ってみましょう。

    なお、PasswordRecoveryはたしか新しいパスワードをメールで送るようになっていたかと。
    最近はこの方式はセキュリティ的に甘い、ということで敬遠されるようになってきていると思います。
    このあたりのコントロールはASP.NET 2.0で追加されたもので、約10年前のネットの状況のもとに作られたものです。
    本当にそのコントロールを利用するのがよいかどうか、一度検討したほうがよいと思います。


    あおい情報システム株式会社 小野修司(どっとねっとふぁん)

    • 回答の候補に設定 山本春海 2012年8月9日 8:37
    • 回答としてマーク 山本春海 2012年8月14日 8:14
    2012年8月2日 6:46

すべての返信

  • セキュリティの質問を使うかどうはweb.configの設定で指定できます。
    メンバーシップ関係のコントロールは設定に応じて自動で項目の表示/非表示を行いますので、まず設定を疑ってみましょう。

    なお、PasswordRecoveryはたしか新しいパスワードをメールで送るようになっていたかと。
    最近はこの方式はセキュリティ的に甘い、ということで敬遠されるようになってきていると思います。
    このあたりのコントロールはASP.NET 2.0で追加されたもので、約10年前のネットの状況のもとに作られたものです。
    本当にそのコントロールを利用するのがよいかどうか、一度検討したほうがよいと思います。


    あおい情報システム株式会社 小野修司(どっとねっとふぁん)

    • 回答の候補に設定 山本春海 2012年8月9日 8:37
    • 回答としてマーク 山本春海 2012年8月14日 8:14
    2012年8月2日 6:46
  • ご返信ありがとうございます。

    下記、どっとねっとふぁん様のブログでまさに該当する記事を見つけ、試したところ上手くいきました。

    http://blogonos.wordpress.com/2006/01/


    PasswordRecoveryを使うかどうかについては、仰る通りですので少し検討してみます。

    現在一般的な運用としては、パスワードを忘れた場合はユーザーを一旦削除し作り直す、

    というようなものでしょうか。

    よろしければ、どういったケースがあるのか教えていただけると幸いです。

    2012年8月2日 7:56
  • パスワードを忘れた場合の処理としては、いろいろなやり方があると思います。
    セキュリティ的に問題になるのは「新たに設定したパスワードをメールで通知する」というところなので、そのような処理が含まれなければよいかと。

    たしかWebPagesのサンプルサイトを作成すると、そこで使っているメンバーシップの仕組みはパスワードをメールでは送らないようになっていたと思います。
    こちらはMVCとともにソースコードも公開されていますので、そのような方法を参考にしてみるといいかと思います。


    あおい情報システム株式会社 小野修司(どっとねっとふぁん)

    2012年8月3日 4:44