Security

ASP MVC 4 Razor Formauthentifizierung !?

stargate — Sun, 24 Feb 2013 15:02:36 GMT

Hallo,

erstmal vorweg, ich habe mit ASP noch sehr wenig Erfahrung bzw. habe aus Spaß vor wenigen Tagen damit angefangen, ein bischen damit rumzuspielen.

Ich habe mir mit VS2012 eine ASP MVC4 Razor Internetanwendung erstellt, damit ich mir die Form-Authentifizierung anschauen kann.. so ganz klar ist sie mir aber noch nicht und ich hätte dazu ein paar Fragen.

Der grundsätzliche Aufbaue der Loginprozedur aus dem Beispiel sieht so aus..

der Login Link sieht so aus

<li>@Html.ActionLink("Anmelden", "Login", "Account", routeValues: null, htmlAttributes: new { id = "loginLink" })</li>

was bringt mir hier die loginLink ID ?

diese wird ja an die Login Action im Account-Controller übergeben wenn ich das richtig sehe und der Account Controller für Login sieht so aus..

 [AllowAnonymous]
        public ActionResult Login(string returnUrl)
        {
            
            ViewBag.ReturnUrl = returnUrl;
            return View();
        }
        //
        // POST: /Account/Login
        [HttpPost]
        [AllowAnonymous]
        [ValidateAntiForgeryToken]
        public ActionResult Login(LoginModel model, string returnUrl)
        {
            if (ModelState.IsValid && WebSecurity.Login(model.UserName, model.Password, persistCookie: model.RememberMe))
            {
                return RedirectToLocal(returnUrl);
            }
            // Wurde dieser Punkt erreicht, ist ein Fehler aufgetreten; Formular erneut anzeigen.
            ModelState.AddModelError("", "Der angegebene Benutzername oder das angegebene Kennwort ist ungültig.");
            return View(model);
        }

Beim ersten Aufruf wird ja diese Methode aufgerufen" public ActionResult Login(string returnUrl)" und diese bekommt ja die ID loginLink übergeben und speichert diese in einem Viewbag.. aber was bringt mir das ? ich habe nirgendwo etwas gefunden wo dieses viewbag verwendet wird ?

die 2. Methode public ActionResult Login(LoginModel model, string returnUrl) bekommt ja dann ein LoginModel mit Username,Passwort usw übergeben und für was ist dann die returnURL ? Beim debugging stand da bei mir immer nur Null drin, aber das Einloggen funktioniert ?

Dann habe ich noch eine andere Frage, VS2012 kann mir ja die Datenbank aus einer Klasse selber anlegen und verwalten.. aber ich würde für den Login gerne meine eigene Datenbank verwenden.
Ich habe mir zum testen eine einfache DB mit Username,Password,Email angeleget und daraus ein ADO.net Model generiert damit ich zugriff auf die DB habe..
Die oben erwähnte "WebSecurity.Login" überprüft denke ich mal ob der anegebene User und das Passwort stimmen. Kann ich die Login Methode einfach übernehmen und an meine Datenbank anpassen ? Wenn ja wie geht das ? Wie ich gelesen habe kann man sich auch einen MembershipProvider erstellen, aber da gibt es keine Login funktion..
Ich will im Prinzip die selben Methoden wie im Beispiel von Microsoft verwenden, auch mit den Tags [Authorize], [InitializeSimpleMembership] usw.. nur eben mit meiner kleinen Datenbank.

mfg stargate

SharedSSL - Verbindung nicht auslesbar

Domsi — Fri, 16 Nov 2012 18:10:15 GMT

Hallo,

Wir haben unseren Provider gewechselt und haben jetzt mit dem Shared-SSL Zugang ein Problem (Beim alten Provider ging alles ohne Probleme).

Ich prüfe mit dem Befehl:
Request.IsSecureConnection.ToString
ob der User die sichere Verbindung verwendet. Allerdings ist es jetzt völlig egal ob ich die eigentliche Domain oder den SharedSSL Zugang aufrufe, ich erhalte immer "False" für die Abfrage der sicheren Verbindung. D.h.:
http://www.domain.com/folder
sowie
https://ssl.provider.com/domain/folder

liefern immer "False" für die oben genannte Abfrage. Dann habe ich zusätzlich die gesamte Url ausgelesen mit
Request.Url.GetLeftPart(UriPartial.Path)
auch das liefert mir immer "www.domain.com/folder".

Ich habe mich auch schon mit dem Support vom Provider in Verbindung gesetzt. Mir wurde nur gesagt, das sie keine Möglichkeit haben diesbezüglich irgendwelche Einstellungen am IIS zu ändern. Die Verbindung selber ist aber mit SSL geschützt, ich hab das mit WireShark überprüft. Ich weiß nicht wie der Provider das intern mit dem Shared-SSL gelöst hat, aber beim alten Provider ging das auch.

Es wird mir ja auch im Browser weiterhin die URL "https://ssl.provider.com/domain" angezeigt, nur alle abfragen in ASP.NET liefern immer meine eigentliche Domain "http://www.domain.com/folder".

Welche Möglichkeit habe ich jetzt noch zu überprüfen ob der User die SSL-Verbindung benutzt? Falls der User nicht über die SSL-Verbindung arbeitet, sollte er automatisch umgeleitet werden.

Mfg,
Domsi

aspxauth cookie

fry_74 — Fri, 07 Sep 2012 08:59:19 GMT

Hallo,habe ein Webportal in .net4 mit einem asp:Login Control. Wenn ich mich anmelde wird korrekt das aspxauth Cookie abgelegt. Soweit so gut. Dort besteht die Möglichkeit ein Pdf runter zu laden (response.writefile). Wenn dies geschieht, geht das Cookie verloren. Firefox und IE scheint das nicht zu interesieren, aber wenn ich bei Safari einen weite Aktion ausführen möchte leitet er mich auf die Login Seite. Wie kann ich verhindern, dass bei response.writefile das Cookie verloren geht?

Hier der Teil, in dem ich das Pdf sende:

Response.ClearContent()
Response.ClearHeaders()
Response.Buffer= True
Response.AddHeader("Content-Disposition", String.Format("attachment; filename={0}", "filename.pdf")))
Response.ContentType = "application/pdf" 
Response.Charset = ""
Response.WriteFile(strPath & strFileName)
Response.End()

Wo genau wird gegen eine URL autorisiert?

Thomas Ehlert — Sun, 19 Aug 2012 21:20:39 GMT

Hallo,

ich habe innerhalb eines Projektes mehrere Provider selbst gebastelt, da sinnvoll, notwendig und spassig.
Neben einem Roleprovider existiert noch ein Sitemap, Membership und Ressourceprovider. So weit, so gut.

Die Rollen und die Seiten werden in einer SQL-DB vorgehalten und ein per Menü kann navigiert werden. Dabei blendet der Sitemap-Provider anhand der Rollen die Möglichkeiten ein - und aus.

Was aber, wenn der User einfach eine URL in der Form ".../context.aspx?__pm=22" eingibt? Bei meiner Variante funktioniert das, obwohl derjenige eigentlich keinen Zugriff auf pm=22 haben sollte. Ich bin bereits seit 2 Tagen auf der Suche, wo das Event eigentlich stattfindet, was einen User gegen eine eingegebene URL autorisiert.

Kann mir mal jemand einen Schubs (bzw. einen Link) geben, wo und wie der Autorisierungsablauf genau abläuft?

TIA
Thomas

Domainübergreifende Authentifizierung

walter.kohl — Wed, 15 Aug 2012 19:03:44 GMT

Moin, werte Gemeinde,

hat jemand von Euch schon einmal eine Authentifizierung realisiert durch die ich verschiedene Domains (auch Subdomains) in eine cross-authentifizierung bekomme? Ich habe schon mal ein wenig überschlagen und mir schweben verschiedene Lösungen vor, schön wäre es, falls jemand damit Erfahrung hat und ich nicht so viel Zeit in die Entwicklung stecken müßte. Danke im voraus.

Aller beste Grüße
Walter

Datenbank Passwort sicher im Code hinterlegen!

Domsi — Sun, 05 Aug 2012 21:02:55 GMT

Hi.

Wenn man eine Verbindung zur SQL-Datenbank aufbaut, dann gibt man ja im Allgemeinen Benutzername + Passwort an. Bekommt jetzt eine unbefugte Person über FTP (oder wie auch immer) Zugriff auf meinen Programmcode, so sieht der Hacker meinen Benutzernamen und das Passwort.
Ich habe bisher keine Lösung gefunden wie ich den Zugriff auf die Datenbank verschleiern kann. Irgendwie muss ich ja die Verbindung zu meiner Datenbank aufbauen, aber sobald der Hacker sieht wie ich das mache, kann er es mir nachmachen.

Leider habe ich das Problem, dass die Anwendung für unsere Kunden bei einem Webhoster liegt und ich da nur FTP Zugriff habe und keine verwaltungstechnischen Maßnahmen durchführen kann. (Wir arbeiten gerade an einem eigenem Webserver, aber die Kunden müssen ja auch wo arbeiten können und ein eigener Webserver ist ja nicht von heute auf morgen erledigt).

Es hilft mir auch nichts einen Benutzer mit eingeschränkten Lese/Schreibrechte anzulegen, denn dann kann der Hacker ja auch die Daten mit diesem Benutzer lesen ==> Das ist schlecht und es wäre von großem Vorteil, wenn das der Hacker nicht kann.

Ich hab nur folgende Anleitung gefunden: http://msdn.microsoft.com/de-de/library/dtkwfdky%28v=vs.90%29.aspx
Wie gesagt, die Anwendung läuft beim Webhoster... Ich kann also beim Webhoster mit "aspnet_regiis" nichts machen...

Gibt es eine Möglichkeit damit ich irgendwie beim Webhoster die Verbindung zu meiner Datenbank verschleiere? (bzw. einfach es dem Hacker deutlich erschweren, einen 100% Schutz gibt es ja eh nicht).

Mfg,
Domsi

Nach erfolgreichem Login Umleitung auf Login-Seite; Custom provider

CrazyMetal — Mon, 09 Jul 2012 11:22:50 GMT

Hallo miteinander,

ich habe eine ASP.Net basierte Anwendung geschrieben, welche ihren Dienst im Firmennetzwerk verrichten soll.

Anfangs war das Rollenmanagement in der ASPNET.DB verwaltet / gespreichert, dieses habe ich durch einen eigenen Rollprovider überschrieben und es wird nun auf einer IBM i5-Series (DB/2) gespeichert.
Seit ich das Rollenmanagement umgestellt habe, kann ich mich anmelden und werde wieder auf die Anmeldeseite (Login-Control) zurückgeleitet.

Ich habe dem Code im Debug-Modus zugeschaut und das Login ist erfolgreich, die Daten stimmen und es wird true zurück gegeben...? Ebenso werden die Nutzer in der DB/2 den entsprechenden Rollen zugeordnet.

Ich habe grade keine Idee mehr woran es liegen könnte, also hier einmal ein paar Codeauszüge. Hoffentlich seht ihr mehr als ich ;-)

-crazy

Web.config

<connectionStrings>
  <add name="AS400" connectionString="XXX"/>
</connectionStrings>  

<customErrors defaultRedirect="~/Fehler.aspx" />
<roleManager defaultProvider="MyRoleProvider"
  enabled="true"
  cacheRolesInCookie="true"
  cookieName=".ASPROLES"
  cookieTimeout="30"
  cookiePath="/"
  cookieRequireSSL="false"
  cookieSlidingExpiration="true"
  cookieProtection="All" >
    <providers>
      <clear />
      <add
        name="MyRoleProvider"
        type="Umsatzstatistik.Login.MyRoleProvider"
        connectionStringName="AS400"
        applicationName="/umsatzstatistik"
        writeExceptionsToEventLog="false" />
    </providers>
</roleManager>

<membership defaultProvider="MyMembershipProvider" userIsOnlineTimeWindow="20">
  <providers>
    <add name="MyMembershipProvider" type="Umsatzstatistik.Login.MyMembershipProvider" applicationName="/umsatzstatistik" />
    <add name="MySettingsMembershipProvider" type="Umsatzstatistik.Login.MySettingsMembershipProvider" applicationName="/umsatzstatistik"/>
  </providers>
</membership>

<authentication mode="Forms">
  <forms cookieless="AutoDetect" protection="All" slidingExpiration="true"
          defaultUrl="~/Auswahl.aspx" loginUrl="~/Default.aspx"  />
</authentication>
<authorization>
  <allow roles="User, Admin" />
  <deny users="*" />
</authorization>

Die Default.aspx (hier ist nur ein Login-Control drauf):

        <div class="container">
            <asp:Login ID="login" runat="server" Style="margin:auto;" 
                destinationPageUrl="~/Auswahl.aspx" DisplayRememberMe="False" 
                UserNameLabelText="Mitarbeiternummer:" >
            </asp:Login>
        </div>

public partial class _Default : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            login.Authenticate += new AuthenticateEventHandler(HandleLogin);

            if (!Page.User.Identity.IsAuthenticated)
            {
                if (Page.Request.Cookies["ASP.NET_SessionId"] != null)
                {
                    Response.Cookies["ASP.NET_SessionId"].Expires = DateTime.Now.AddYears(-30);
                }
                Session.Abandon();
            }
        }

        protected void HandleLogin(object sender, AuthenticateEventArgs e)
        {
            bool foundUser = false;
            List<string> roles = new List<string>();
            
            // call the default MembershipProvider
            if (Membership.Provider.ValidateUser(login.UserName, login.Password))
            {
                foundUser = true;
                roles.Add("User");
            }  //explicitly call secondary provider
            else if (Membership.Providers["MySettingsMembershipProvider"].ValidateUser(login.UserName, login.Password))
            {
                foundUser = true;
                roles.Add("User");
                roles.Add("Admin");
            }
            if (foundUser)
            {
                Session["UserId"] = login.UserName;
                Session["Groups"] = roles;
                foreach (string s in roles)
                {
                    try
                    {
                        if (!Roles.IsUserInRole(login.UserName, s))
                            Roles.AddUserToRole(login.UserName, s);
                    }
                    catch (SqlException sqlex)
                    {
                        Console.WriteLine(sqlex.ToString());
                    }
                }
            }
            
            e.Authenticated = foundUser;    // <---- ist true!
        }
    }

eigene ASPNETDB

micha_b83 — Wed, 20 Jun 2012 17:51:30 GMT

Hallo alle zusammen,

ich habe eine Applikation für ein Intranet erstellt und möchte nun den jeweiligen Seiten rolen zuweisen. Für diese Applikation habe ich eine Datenbank angelegt (MS SQL Server 2008 R2) in der Benutzer abgespeichert wurden. Ich möchte mit der bestehenden Datenbank und der Windows-Authentifizierung die sitemaps rolen zuweisen. Mein Problem ist das ich nicht weiß wie ich meine web.conif einstellen muss, damit ich auf die vorhandene DB verwenden kann.

meine Sturktur: https://plus.google.com/u/0/105408153518839769267#photos/105408153518839769267/albums/5756177187782386785

Ich hoffe Ihr könnt mir helfen.

Viele Grüße

Michael

(Windows-) Zugriffsrechte für Upload von Website und passwortgeschützen download

Bumbum — Mon, 18 Jun 2012 13:55:55 GMT

Hallo,

wie muss ich auf dem Windows-Webserver die Zugriffsrechte eines Verzeichnis einstellen, damit man Dateien per WebUpload hochladen kann, der download aber passwortgeschützt ist?

Damit der Upload funktioniert, muss ich dem Dienst "NETZWERKDIENST" ja sehr viele Rechte auf den Ordner geben. Leider kann danach auch der Download ohne Passwort durchgeführt werden. (Der Ordner ist durch ein virtuelles Verzeichnis im IIS eingebunden)

Viele Grüße

Andreas

Veröffentlichen einer Standard VS 2010 ASP.NET Website auf Windows Server 2008

inf152 — Tue, 10 Apr 2012 07:08:33 GMT

Hallo Zusammen ich versuche ein Standard ASP.NET Website auf dem Windows Server 2008 zu veröffentlichen und habe hierfür:

1) Den Website-Ordner für „JEDER“ zum Lesen und Ausführen freigegeben.
2) Den Website-Unterordner App_Data für „Netzwerkdienst“ zum Lesen, Ausführen und Schreiben freigegeben.
3) Eine Instanz des SQL Server 2008 Express installiert und die Benutzerinstanzen aktiviert.

So schaut die Web.config aus:

<configuration>
  <connectionStrings>
    <add name="ApplicationServices" connectionString="data source=.\SQLEXPRESS;Integrated Security=SSPI;AttachDBFilename=|DataDirectory|\aspnetdb.mdf;User Instance=true" providerName="System.Data.SqlClient"/>
  </connectionStrings>
  <system.web>
    <compilation debug="true" targetFramework="4.0"/>
    <authentication mode="Forms">
      <forms loginUrl="~/Account/Login.aspx" timeout="2880"/>
    </authentication>
    <membership>
      <providers>
        <clear/>
        <add name="AspNetSqlMembershipProvider" type="System.Web.Security.SqlMembershipProvider" connectionStringName="ApplicationServices" enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="false" requiresUniqueEmail="false" maxInvalidPasswordAttempts="5" minRequiredPasswordLength="6" minRequiredNonalphanumericCharacters="0" passwordAttemptWindow="10" applicationName="/"/>
      </providers>
    </membership>
    <profile>
      <providers>
        <clear/>
        <add name="AspNetSqlProfileProvider" type="System.Web.Profile.SqlProfileProvider" connectionStringName="ApplicationServices" applicationName="/"/>
      </providers>
    </profile>
    <roleManager enabled="false">
      <providers>
        <clear/>
        <add name="AspNetSqlRoleProvider" type="System.Web.Security.SqlRoleProvider" connectionStringName="ApplicationServices" applicationName="/"/>
        <add name="AspNetWindowsTokenRoleProvider" type="System.Web.Security.WindowsTokenRoleProvider" applicationName="/"/>
      </providers>
    </roleManager>
  </system.web>
  <system.webServer>
    <modules runAllManagedModulesForAllRequests="true"/>
  </system.webServer>
</configuration>

4) Die folgenden Rollendienste installiert (wobei ich nicht sicher bin, ob das überhaupt notwendig ist, die Anmeldung läuft ja über SQL):
- Rollendienst für Standardauthentifizierung
- Rollendienst für Windowsauthentifizierung

Mein Problem ist ich bekomme immer wenn ich auf Anmelden->Registrieren gehe und versuche einen neuen Benutzer zu erstellen die folgende Fehlermeldung:

Serverfehler in der Anwendung /.
Fehler beim Anfügen einer automatisch benannten Datenbank für die Datei C:\Users\Administrator\Desktop\PersonalWebSite\App_Data\aspnetdb.mdf. Eine Datenbank mit diesem Namen ist bereits vorhanden, die angegebene Datei kann nicht geöffnet werden, oder sie befindet sich in der UNC-Freigabe.

Danke im Voraus für Eure Hilfe. Falls Ihr noch andere Fehler im meiner Vorgehensweise bemerkt habt, wäre ich Euch sehr dankbar wenn Ihr mich auf diese hinweisen würdet.

Grüße
Gregor

Applikation auf Server von ASP.NET aus ausführen

kaktusgruen — Thu, 29 Mar 2012 09:30:19 GMT

Hallo zusammen,

ich möchte gerne aus einer ASP.NET Anwendung heraus eine Applikation auf einem Server (Windows Server 2008 R2) starten. Diese Applikation führt ein Script auf dem Server aus und wird danach wieder geschlossen. Meine ASP Anwendung läuft auf einem IIS 7. Damit der IIS User die Berechtigung hat, die App auch auszuführen, habe ich der Gruppe IIS_IUSRS volle Zugriffsberechtigung auf das Installationsverzeichnis der Applikation gegeben.

Dann bekomme ich folgenden Fehler:

Retrieving the COM class factory for component with CLSID {2B9B8E92-EBAA-44AF-A23C-9FBD08EAFA54} failed due to the following error: 80070005 Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED)).

Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.UnauthorizedAccessException: Retrieving the COM class factory for component with CLSID {2B9B8E92-EBAA-44AF-A23C-9FBD08EAFA54} failed due to the following error: 80070005 Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED)).

ASP.NET is not authorized to access the requested resource. Consider granting access rights to the resource to the ASP.NET request identity. ASP.NET has a base process identity (typically {MACHINE}\ASPNET on IIS 5 or Network Service on IIS 6 and IIS 7, and the configured application pool identity on IIS 7.5) that is used if the application is not impersonating. If the application is impersonating via <identity impersonate="true"/>, the identity will be the anonymous user (typically IUSR_MACHINENAME) or the authenticated request user.

To grant ASP.NET access to a file, right-click the file in Explorer, choose "Properties" and select the Security tab. Click "Add" to add the appropriate user or group. Highlight the ASP.NET account, and check the boxes for the desired access.

Auch wenn ich "ASP.NET Impersonation" für meine Applikation einschalte und als User den Administrator angebe, bekomme ich einen Fehler:

Creating an instance of the COM component with CLSID {2B9B8E92-EBAA-44AF-A23C-9FBD08EAFA54} from the IClassFactory failed due to the following error: 80070005.

Die Beschreibung des Fehlers inst ansonsten die Gleiche. Irgendwie fehlt die Berechtigung für das erstellen eines COM Objekts.

Bitte um Hilfe.

Grüsse,

kaktus

DES Hash in vb.net generieren?!

DanyCode — Tue, 13 Mar 2012 12:43:20 GMT

Hallo zusammen, ich möchte eine kleines Script benutzen, mit dem ich eine .htpasswd Datei erstellen und verändern kann. Der Provider bietet ein solches Formular für maximal 10 Einträge und dann muss man sich die Datei zusammenkopieren und per FTP wieder hochladen. Das ist für den einfachen User zu umständlich und daher möchte ich so eine Möglichkeit selber anbieten.

Jetzt habe ich ein Problem mit der Hasherei und Salt und hastenichtgesehen. Der Provider setzt die ersten beiden Buchstaben des Usernames als Salt (wenn ich das richtig verstehe) zusätzlich vor das Passwort.

Auf dieser Seite erreiche ich genau das Ergebnis welches bei meinem Provider herauskommt und welches ich mit asp.net (VB) nachbilden möchte http://sherylcanter.com/encrypt.php Wenn ich dort als Benutzer "Willi" eingebe, als Passwort "test" und als DES-Salt "wi" erhalte ich dies Willi:wizDR5wi.JkYcv

Die Verkettung mit den Strings ist ja kein Thema, aber dass auch "witest" mit irgendeiner Verschlüsselung DES?! das hier wird "wizDR5wi.JkYcv"

Also mit diesen geanzen MD5 und SHA1 usw in Verbindung mit Memorystreams und Streamwriter Byte() und Byte Array und ConvertToBase64Strings habe ich irgendwie Verständnisprobleme.

Kann mir jemand einen Tipp geben oder ein Codebeispiel wie ich den richtigen Cryptoprovider auf einen solchen String mit Salt anwenden kann?! Die Beispiele im Internet helfen mir nicht weiter.

Viele Grüße

DanyCode

Fehler bei der Formularauthentifizierung (Das angegebene Ticket war ungültig)

wolfchr3 — Sat, 25 Feb 2012 13:50:01 GMT

Hallo!

Bei meiner Intranet-Anwendung die seit 2 Jahren im Einsatz ist und die Formularauthentifizierung verwendet, kommt es seit dem 23.02.2012 plötzlich zu folgender Fehlermeldung im IIS7.0 im Anwendungsprotokoll.
Die Auswirkungen sind, dass Javascripts nicht mehr ausgeführt werden und Daten im GridView nicht mehr angezeigt werden.
Wenn die Anwendung am IIS7.0 selbst im IE9.0 ausgeführt wird, gibt es keine Probleme?
Das Einspielen des Windows Sicherheitsupdate 2638420 am Client half nicht weiter!

Event code: 4005
Event message: Fehler bei der Formularauthentifizierung für die Anforderung. Grund: Das angegebene Ticket war ungültig.
Event time: 24.02.2012 11:33:58
Event time (UTC): 24.02.2012 10:33:58
Event ID: fbc541e7d6e84473bbd0b0e3c2030fe9
Event sequence: 161
Event occurrence: 78
Event detail code: 50201

Application information:
    Application domain: /LM/W3SVC/1/ROOT/skiintra-3-129745531779716796
    Trust level: Full
    Application Virtual Path: /skiintra
    Application Path: C:\Skiintranet\web\
    Machine name: SKIDATA-INTRANE

Process information:
    Process ID: 1836
    Process name: w3wp.exe
    Account name: IIS APPPOOL\DefaultAppPool

Request information:
    Request URL: http://192.168.137.2/skiintra/WSverbindung.asmx/GetDiffArtLang
    Request path: /skiintra/WSverbindung.asmx/GetDiffArtLang
    User host address: 192.168.137.16
    User:
    Is authenticated: False
    Authentication Type:
    Thread account name: IIS APPPOOL\DefaultAppPool

Danke
Chris

JavaScript - Windows identity rausbekommen

b.wayne — Wed, 08 Feb 2012 12:26:46 GMT

Hallo,

entwickle zur Zeit eine asp mvc Webseite unter .Net Framework 4.0.

Für das Authentifizieren an der Webseite benutze ich die "forms authentication " mithilfe einer Login-Page (Das soll auch so bleiben. Typische "winbows authentication" kommt nicht in Betracht).

Nun zu meiner Frage...

Wie bekomme ich (mit javascript ?) die Windows identity (Domäne,Benutzer) vom Client heraus ? Ist das überhaupt möglich ?

Wie es in asp funktioniert ist mir bekannt, nur bringt mich das nicht weiter, weil der Code ja am IIS (Serverseitig) ausgeführt wird.

Besten dank im Voraus.

mfg

Facebook Connect

Bumbum — Fri, 17 Jun 2011 10:01:43 GMT

Hallo,

ich bin durch Zufall auf Facebook Connect aufmerksam geworden. Ich konnte damit das Profil eines anderen Forums mit meinem Facebook-Account verknüpfen. Als ich nun an meinem Computer auf der Arbeit war, konnte ich mich in dem Forum ganz einfach über Facebook-Connect einloggen.

Ich finde dieses Feature total interessant und habe versucht ein einfaches Tutorial für Einsteiger darüber zu finden, aber nichts gefunden. Speziell für ASP.net nichts.

Hat jemand von euch sowas schon umgesetzt? Also eine Verknüpfung eines Kundenkontos auf einer ASP.net Website mit einem Facebook-Account? Oder kennt jemand eine gute Anleitung?

Viele Grüße

Andreas

Zugriffsregel auf ASPX-Seite anwenden

rudolf.riegler@gmx.net — Fri, 10 Jun 2011 06:06:58 GMT

Hallo zusammen,

weis jemand, wie man Zugriffsregeln nicht nur auf Unterordner, sondern auch auf einzelne ASPX Seiten anwenden kann. Denn mit dem ASP.net Configurator kann man Zugriffsrollen nur auf Ordner anwenden.

Gruss
Rudi

Benutzerdefinierte Einträge in der aspnet_Users Tabelle

rudolf.riegler@gmx.net — Fri, 10 Jun 2011 15:02:29 GMT

Hallo zusammen,

für meine Benutzerregistrierung verwende ich das "CreateUserWizard" Control und das dazugehörige SQL-Server-DB-Schema (also die vordefinierte DB mit den Tabellen aspnet_Users, aspnet_roles, apsnet_profile, usw.).
Jetzt möchte ich aber bei der Registrierung einige Daten mehr abspeichern können als beim CreateUserWizard zum Eingeben möglich ist, zb. Vorname, Nachname, usw. Wie realisiert man dies am Besten...diese Einträge manuell im Wizard und auch in der DB hinzufügen, oder gibt es hier eine spezielle Vorgehensweise??

Weiters soll die Registrierung so verlaufen, dass der Benutzer ein Mail mit einem Aktivierungslink erhält...gibt es für das fertige Klassen/ Methoden oder muss dass von 0 auf selbst ausprogrammiert werden?
Ich bitte euch um euer KnowHow!!!

Gruss
Rudi

Fehler 500 beim Aufruf einer PDF-Datei

Anne — Fri, 03 Jun 2011 08:14:29 GMT

Hallo,

ich habe ein Problem mit dem Aufruf von PDF-Dateien. Diese liegen auf einem Fileserver und die User sollen sowohl über das Dateisystem, als auch über eine ASP.NET-Anwendung auf die PDF-Dateien zugreifen können, allerdings nicht auf alle. Es dürfen nur die Dateien gelesen werden, die über NTFS-Leserechte erreichbar sind. Wenn ich jetzt im Internet Explorer direkt den Link wie folgt eingebe "//Server/Dateifreigabe/Ordner/PDFdatei.pdf" wird die PDF-Datei geöffnet.
In der Webanwendung funktioniert das leider nicht.
Neben der Ordnerfreigabe habe ich im IIS auf den gleichen Ordner eine Webanwendung (nur Windows integrierte Sicherheit) eingerichtet. Wenn ich jetzt über Response.Redirect(http://Server/Webname/Ordner/PDFdatei.pdf) die Datei aufrufe erscheint der Fehler "500 - interner Serverfehler". Der User selbst verfügt nur über den Ordner mit der PDF-Datei Leserechte, ansonsten Ordnerauflistungsrechte.

Da diese Art des Zugriffs auf einem anderen Windows-Server Version 2003 funktioniert, vermute ich, dass noch etwas auf dem jetzigen Server (2008 R2) eingestellt werden muss.
Danke im Voraus für Eure Tipps.

Gruß Anne

Authorisierung basierend auf QueryString-Parameter

gBecker — Mon, 30 May 2011 11:51:47 GMT

Hallo,

ich habe in meiner Applikation mehrere Unteranwendungen (ich nenne das jetzt einfach mal so) die alle auf die gleiche Administration zugreifen. Je nach dem mit welchen Rechten man angemeldet ist bekommt man in dieser Administration natürlich nur die Benutzer und Rollen zu sehen, die zu der entsprechendenUnteranwendung gehören. Die Unterscheidung beim Aufruf der Administration erfolgt über eine QueryString-Parameter "AppId".

Alle Benutzer die als Administrator für eine dieser Unteranwendungen angemeldet sind bekommen über eine entsprechende Rolle (App1_Admin, App2_Admin, App3_Admin, ...) Zugriff auf die Administration. Den Zugriff gewährleiste ich über eine SiteMap in meiner Anwendung. Da ich allerdings jetzt allen "Appx_Admin"-Rollen auf ein und dieselbe Datei Berechtigung gebe, haben jetzt alle Administratoren der Unteranwendung auch Zugriff auf alle anderen Unteradministrationen. Also der Administrator von App1 hat auch Zugriff auf App2 und App3). Das liegt daran, dass die Authorisierung nur bezogen auf die WebPage funktioniert und jegliche weitere Parameter ignoriert werden.

Also bin ich auf die Idee gekommen das ganze mit UrlMapping bzw. UrlRewriting (URL Rewrite Module 2.0) zu probieren. Das Gute daran: Ich habe eindeutige Adressen für meine Unteradministrationen und man kann so den AppId-Parameter verstecken. Allerdings funktioniert das dann doch nicht sio wie gewollt. Das "Trimming" meiner SiteMap über die umgeschriebenen URLs scheint zu funktionieren, allerdings nicht der Zugriff auf die Seite selbst. Das heißt der Benutzer bekommt einen Link angezeigt aufgrund der Zugehörigkeit zu den enstrechenden Appx_Admin-Rollen, beim Zugriff auf die Seite selbst erhält er aber keinen Zugriff.

Hat jemand dafür eine Lösung, muss ich da noch irgendwas einstellen oder geht es schlichtweg nicht?

Die eigentliche Frage lautet aber: wie kann ich basierend auf einem QueryString-Parameter unterschiedlichen Benutzern Zugriffsrechte (ASP.NET Membership) vergeben? Ooder gibt es für das geschilderte Problem noch andere Lösungen?

Gunter

ASP.NET Website oder Webprojekt von Netzwerklaufwerk laden

pseudo — Sun, 24 Apr 2011 17:37:21 GMT

Hallo zusammen,

ich habe mich hier schon ein wenig nach einem ähnlichen Problem, bzw. einer Problemlösung umgesehen aber meist - wie im Web - nur ähnliche Sachen gelesen. Eigentlich ist das was ich will nichts besonderes. Ich habe mehrere Rechner und und möchte meine ASP.NET Projekte deshalb auf einem Netzwerklaufwerk speichern und von dort laden. Das ging unter Visual Studio 2005 in der Regel in dem man das Netzwerklaufwerk in der .NET 2.0 Konfiguration auf FullTrust setzte. Das hat für Windows-Anwendungen (also kein ASP) immer funktioniert. Nun arbeite ich mich unter Visual Studio 2010 Professional zum ersten Mal in ASP.NET ein und bin anscheinend auf eine für mich unüberwindbare Hürde gestoßen. Bei der Ausführung einer simplen HalloWelt ASP.NET-Anwendung unter dem .NET 4.0-Framework wird mir immer der Zugriff verweigert. Es kommt automatisch der ASP Development Server zum Einsatz, so dass wohl Einstellungen im IIS nicht viel nützen. Folgende Meldungen erscheinen:

"Beschreibung: Fehler beim Zugriff auf die zum Verarbeiten der Anforderung erforderlichen Ressourcen. Möglicherweise verfügen Sie nicht über die Berechtigung zum Anzeigen der angeforderten Ressourcen."
"Fehlermeldung 401.3: Die von Ihnen angegebenen Anmeldeinformationen berechtigen Sie nicht, dieses Verzeichnis bzw. diese Seite anzuzeigen (Zugriff aufgrund von Zugriffssteuerungslisten verweigert). Wenden Sie sich wegen der Zugriffsrechte für Z:\Programmierung\NET\ASP\Buch1\Buch1 an den Administrator des Webservers."

Ich bin mir nicht ganz sicher ob dies was mit der Art des Netzwerkspeichers zu tun hat? Es handelt sich um einen Windows Homeserver (WHS) auf dem eine abgespeckte Version von Windows 2003 Server läuft, welche über eine eigene Kontoverwaltung verfügt. Man muss also die Benutzer anlegen, die Zugriff auf Verzeichnisse bzw. Freigaben des Servers haben sollen. Nun vermute ich, dass ich beim Starten oder Debuggen einer ASP.NET-Anwendung wohl nicht mit meinem, auf dem WHS-Server vorhandenen Benutzerkonto, angemeldet werde. Ich habe aber keine Ahnung wie ich das Problem lösen kann?

Hat jemand schon mal ein ähnliches Problem gehabt?

über web - lokaler zugriff

Glagol — Thu, 14 Apr 2011 08:27:51 GMT

Hallo,

habe ein wichtiges Problem:

Ich habe eine Webanwendung programmiert, die ein Fragebogen-Verwaltungstool implementiert.

Diese Webanwendung sollte aber in Kombination mit einer Access-Anwendung(lokal) arbeiten.

Das Problem ist, wenn ein bestimmter Button auf der Page ausgelöst wird, sollte eine (lokal am Client) liegende .exe aufgerufen werden, die auch einen Parameter mitbekommt.

Meine Vermutung(leider) ist, dass mir gesagt wird, dass es nicht möglich ist, auf lokale Dateien eines Clients zuzugreifen...

Wäre um eine Antwort sehhr dankbar!!

Temporärer Link mit eingeschränktem Zugriff

DonutPanic — Fri, 28 May 2010 10:05:10 GMT

Hallo,

ich bin gerade dabei ein Extranet zu realisieren und möchte mit ASP.NET 4.0 folgende spezielle Zugangsmöglichkeit umsetzen:

Normalerweise ist die gewünschte Seite (oder Datei) nur über Forms Authentication und für gewisse Rollen erreichbar. Es soll nun aber die Möglichkeit geben, auf die Seite auch ohne Registrierung über einen temporären Link (der bspw. nach 48 h verfällt) zu gelangen.

Jetzt brauch ich nen Denkanstoß. Wie könnte man das umsetzen? Bin euch für jede Idee dankbar!

Nen schönen Gruß
Philipp

Login control / ReturnURL

domjuan — Mon, 04 Apr 2011 20:11:35 GMT

Hi, habe auf meiner webseite mit visual web-developer die standard authentication mit einer simplen Login-Page implementiert, durch die man auf den (geschützten) Admin-Bereich zugreifen kann. Dieser ist durch eine eigene web.config für alle Rollen außer "Admin" gesperrt.

Hat ca. ein Jahr wunderbar funktioniert, bis ich vor ein paar Tagen feststellen musste, dass ich bei Eingabe der korrekten UserID und PW wieder auf der Login-Page und nicht auf der im Login-Control eingegebenen DestinationPageURL lande.

Es kommt keine Fehlermeldung (die kommt bei falscher Eingabe der Daten schon), es wird lediglich die eigentlich auszuführende ReturnURL im Adressfeld hinter die url der login-Page angefügt (www.domain.at/login.aspx?ReturnUrl=%2fAdmin%2f...).

Teste ich meinen Status mit einem Login-View, dann sagt es mir, dass ich angemeldet bin.
Schreibe ich die eigentlich gewünschte destination-page ins adressfeld, lande ich wieder auf der Login-Seite..

Kann mir hierbei jemand helfen, bzw. mir einen Tip geben, wie ich das wieder hinbekomme?

Wäre dankbar für jeglichen Ratschlag!

VG
Domjuan

Login/Logout

Glagol — Thu, 17 Mar 2011 09:23:50 GMT

Hallo,

ich hab folgendes Problem(hoffe mal ich kann mich deutlich genug ausdrücken):

In meiner web.config steht folgender Eintrag:

</authentication>

Die Timeout auf 1 wegen Testzwecken!

Wenn jetzt aber die Timeout abgelaufen ist, ist zwar der User abgemeldet, aber er leitet nicht auf die LoginPage zurück(jedenfalls nicht immer) Wieso ist denn das so?

Das heißt es kommt in meiner Page zu Fehlern, da sich der Benutzer weiterhin auf der DefaultPage befindet, aber nicht mehr angemeldet ist.

Meine Idee war anschließend folgender Code im Page_Load:

If (Not User.IsInRole("Administrator")) And (Not User.IsInRole("Telefonierer")) Then

'Response.Redirect("~/Login.aspx")

End If

Würde ja eigentlich funkt., aber wenn der Benutzer auf "Zurück" drückt bzw. in der Url die "DefaultPage" eingibt, ist er wieder drinnen(Was ja nicht sein sollte)

Das "LoginStatus" Control macht eigentlich genau das, was ich bräuchte--> beim Logout kann man ohne Neuauthentifizierung nicht mehr zurück.

Perfekt wäre es, wenn ich einfach im Pageload "LoginStatus.logout" auslösen könnte, aber diesen Event gibt es leider nicht -.-

Was passiert da genau? Kann mir da jemand weiterhelfen?

Wäre für eine Antwort sehr dankbar!!!

dazugesagt: Ich bin kein asp.net pro(programmiere mein erstes Projekt) und bin auch neu im Forum(also falsch ich etwas falsch mache, bitte sagen)

Forms Authentication auf IIS 7

StehtImSchilf — Thu, 17 Mar 2011 10:05:00 GMT

Hi Forum

Ich möchte einfach mal nur ein Beispiel zum Laufen zu bringen um Forms Authentication zu testen. Dazu habe ich folgende Dateien erstellt:

\Anwendung\Default.aspx (gibt "Hello World" aus)
\Anwendung\Login.aspx (enthält das 08/15 Login-Control, aber derzeit noch ohne Code, denn das ganze Funzt ja noch nicht)
\Anwendung\web.config
\Anwendung\SubFolder1\HelloWorld.aspx (gibt "Hello World" aus)

Ich habe Berechtigungen für die Dateien für "NetworkService" gesetzt. Der "IUSR" hat keinen Zugriff.

Auf dem IIS 7 habe ich eine neue "Anwendung" und einen eigenen Application Pool (Identity=NetworkService) erstellt. Anschliessend habe ich in der "IIS" Rubrik "Authentication" die "Forms Authentication" aktiviert.

Die web.config sieht wie folgt aus:

<authentication mode="Forms">
            <forms loginUrl="Login.aspx" protection="All" timeout="30"
name="foobar"
path="/"
requireSSL="false"
/>
</authentication>

So, wenn ich nun die Seite \Anwendung\Default.aspx. aufrufe, so erhalte ich auf meinem Client (FF, IE):

401 - Nicht autorisiert: Zugriff aufgrund ungültiger Anmeldeinformationen verweigert.

und auf dem Server:
HTTP Error 401.2 - Unauthorized
You are not authorized to view this page due to invalid authentication headers.

Ist mir ja klar, dass ich keine Berechtigung habe die Seite anzuschauen, ich hab mich ja nicht mal anmelden können. Wieso werd' ich denn nicht auf die Login.aspx weitergeleitet? Auch wenn ich direkt die Login.aspx aufrufe, kommt die gleiche Meldung. Wenn "Anonymous Authentication" verwendet wird, dann funktioniert alles - aber das ist ja nicht der Sinn der Sache.

Ich will doch, dass wenn der Benutzer nicht angemeldet ist, dieser auf "Login.aspx" geleitet wird. Wo liegt denn der Hund begraben? In der web.config habe ich keine weiteren Werte, die gesetzt werden ausser (<compilation debug="true" />)

Cheerioh & thx
SiS