1. Accueil
  2. Question et réponse
  3. IIS6 SSL Config - devez être connecté deux fois (une fois pour: 80, une fois pour: 443)

IIS6 SSL Config - devez être connecté deux fois (une fois pour: 80, une fois pour: 443)

2010-07-08 4 views
0

J'ai un dossier virtuel contenant une application d'administration, commeIIS6 SSL Config - devez être connecté deux fois (une fois pour: 80, une fois pour: 443)

https://www.mysite.com/alpha

qui nécessite SSL. Dans les propriétés du gestionnaire IIS pour le dossier, sous «Authentification et contrôle d'accès», l'accès anonyme est désactivé et «Accès authentifié» est défini sur «Authentification Windows intégrée». Lorsque je me connecte au site dans Chrome, je reçois deux boîtes de connexion.

Le premier est de mysite.com/alpha:443, et le second est de mysite.com/alpha:80. Firefox semble renvoyer mes informations d'identification pour la deuxième case afin qu'elle ne soit jamais affichée.

Des idées pour lesquelles je devrais me connecter deux fois?

Source

2010-07-08 David Lively

Répondre

1

Si vous avez besoin de SSL pour les utilisateurs authentifiés sur votre site Web (pour une raison quelconque), la meilleure solution est de toujours avoir votre page "Connexion" sur https://. De cette façon, lorsqu'ils se connectent, ils sont instantanément sécurisés. La raison en est à cause de la conception native de SSL. Il sépare/sécurise son auto de la version non sécurisée en ne passant pas les états d'authentification entre http et https. Vous devrez également écrire une logique pour rediriger les visiteurs authentifiés qui retournent vers la page sécurisée (IE: visiteurs qui peuvent retourner authentifiés à partir d'un cookie).

EDIT:

Depuis votre utilisation de l'authentification Windows, il est probablement plus facile de simplement rediriger ALL entrant http trafic vers https. Cela signifie que tout votre site sera sur SSL et sera inaccessible via http (autre que de rediriger vers https)

J'ai écrit un Blog Post sur forçant un site Web à utiliser WWW dans l'adresse Web, mais il peut également être porté à forçant https.

Source

2010-07-08 16:22:43

+0

Comme je n'utilise pas l'authentification par formulaire, je ne suis pas sûr de ce que vous entendez par "page de connexion". ? –

+0

ah si vous utilisez l'authentification Windows, la solution la plus simple serait de rediriger tout le trafic non sécurisé vers la page sécurisée. Voir mon edit –

0

Yep,

L'un utilise SSL, l'autre pas. Par conséquent, vous n'êtes pas autorisé à partager le cache des informations d'identification à partir d'une session sécurisée avec celui de la session non sécurisée.

Si vous avez besoin de SSL, redirigez directement les utilisateurs vers le site Web SSL.

Source

2010-07-08 16:20:36 cRichter

+0

"Un mais pas l'autre" quoi? Le dossier entier nécessite une authentification. –

 Questions connexes

  • Aucun problème connexe^_^