Hallo! > entweder Du hast mich oder ich habe Dich nicht richtig verstanden.
Manchmal bin ich unheimlich schwer von Begriff, aber schauen wir mal ... > Noch einmal mein Szenario: > > In einem Intranet existieren etliche WebApplikationen, deren Seiten �ber > Integrated Windows Authentication gesch�tzt sind. Da sich das Szenario > in einer reinen Windows-Welt abspielt, ist das die bequemste und > sicherste Form der Authentifizierung, da ich mich nicht an jeder > Applikation einzeln anmelden mu� sondern mein NT-Konto verwendet wird. > Zudem ist das Passwort verschl�sselt, alles wunderbar. Jo, maximale Sicherheit. > Eine dieser Applikationen hat nun die Aufgabe, beliebige Seiten der > anderen Anwendungen zu scrabben. Da diese Seiten jedoch gesch�tzt sind > ist das nicht so ohne weiteres m�glich. Die Klasse WebRequest hat jedoch > eine Property Credentials, der ein Objekt vom Typ NetworkCredentials > �bergeben werden kann. Zum Erzeugen des NetworkCredential-Objektes > ben�tige ich Name, Pa�wort und Dom�ne. Das Passwort habe ich aber > nat�rlich bei Windows Authentifizierung nicht, m�chte ich auch gar > nicht. Daher habe ich tats�chlich etwas gegen > "http://username:password@servername/"; bzw. ich habe etwas nicht, > n�mlich "password"! > Mir schwebt vielmehr vor, �ber Impersonation mit den Rechten des > aufrufenden Users das Scrabben vorzunehmen, so wie ich auch > Filesystemzugriffe mit den Rechten des Users machen kann. Bei > Web-Zugriffen ist mir das aber leider bisher nicht gelungen. Ich verstehe "scrabben" nicht und finde das Wort auch nicht im Lexikon. Aber ich vermute, Du willst in einer Applikation Bruchst�cke ("scraps") anderer Applikationen darstellen, �hnlich einer "Management Summary". Egal - aus meiner Sicht w�re es wichtig, dass daf�r kein weiteres Passwort eingesetzt werden muss. Die Windows Authentifizierung sollte also dem Benutzer - z. B. �ber eine entsprechend definierte Rolle - sowohl den direkten Zugriff als auch den indirekten (in Form von Scraps) erm�glichen. Wenn ich als Anwender durch Eingabe einer anderen Authentifizierung eine bestimmte Datei vom Server hole, ist das okay. Wenn ich aber eine Applikation starte, die sich dann automatisch mit einer anderen Authentifizierung irgendwo anmeldet, habe ich ein Sicherheitsloch, weil damit der Zugriff verschleiert wird. Ich halte also nichts von Impersonisation, wenn sie automatisch erfolgt und nicht durch die Eingabe eines Benutzers. Du solltest also in Deiner Applikation einfach die geforderten Teile der anderen Applikationen aufrufen. Wenn der Zugriff dann verweigert wird, k�nntest Du das Benutzerkonto und das Password in einem Dialog eingeben lassen und damit dann erneut den Zugriff durchf�hren. Weil das f�r den Anwender zwar sicher ist, aber durchaus l�stig werden kann, wird man dann vielleicht eine Benutzerrolle definieren, und darin die Autorisierung sowohl f�r Deine Applikation als auch f�r die Teile der anderen Applikationen festlegen. Damit h�tte man dann im System eindeutig definierte und dokumentierte und jederzeit nachvollziehbare Regeln. Eine Applikation, die den Benutzer kaschiert, ist a priori ein Sicherheitsloch, oder? Freundliche Gr��e Joachim van de Bruck | [aspdedotnet] als [email protected] subscribed | http://www.dotnetgerman.com/archiv/aspdedotnet/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.dotnetgerman.com/listen/aspDEdotnet.asp
