Discussion :

[calagan99]

Bonjour à tous,

cela devient trés urgent, je ne parviens pas à récupérer les mots de passe de mes Users pour les leur afficher quand ils sont connectés sur leur profil.

Je ne connais pas la question de l'utlisateur et ne peux donc pas utiliser la méthode Membership.Provider.GetPassword. J'ai pensé passer par une requète mais il faudrait que je crée une connectionString qui pointe sur les .MDF aspnetdb ??? Jamais vu ça.

Je suis dans l'impasse, avez vous des solutions?

D'avance merci


EDIT: plus j'avance, plus je sombre.
Je viens de créer une connectionString pointant vers mon MDF et ma requete de selection me renvoie reponse et password en hashé...
Je vais devenir fou
un peu d'aide s'il vous plait

[thewaterkidny]

dis en un peu plus concernant ta bdD. comment gère t elle les mots de passe? c'est crypté? je pense pas que ce soit un pb d'asp.net à moins d'avoir mal compris ton message.
Dans ce cas ré explique, sinon demande dans la rubrique sur les BdD

[calagan99]

J'utilise le MemberShipProvider du framework 2.0 , la base aspnetdb attachée en MDF dans mon dossier APP_DATA et le seul moyen que j'ai trouvé pour récupérer le mot de passe et la réponse de l'utilisateur est de déclarer un provider dans mon web.config et de mettre PasswordFormat=Clear.
Autrement dit, les mots de passe se baladent en clair dans les trames.
Ce qui est bizarre, c'est que lorsque je sniffe les trames avec Ethereal, je ne vois nul part ce password.

[nicolas_cs2i]

Pourquoi alors ne pas garder cette facon de faire.
J'utilise cette méthode pour l'intranet de mon entreprise. (la bdd est protégé par mot de passe).
Et pour visualiser les mdp, j'utilise une page asp.net restreinte en lecture par des droits (admin uniquement), et un datagridview ayant pour requête (procédure stockée) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
SELECT dbo.aspnet_Users.UserName ,dbo.aspnet_Membership.Password 
FROM dbo.aspnet_Membership,dbo.aspnet_Users
WHERE dbo.aspnet_Users.UserId = dbo.aspnet_Membership.UserId

C'est ce que tu recherche ?

Amicalement

[calagan99]

C'est bien ce que je fais actuellement, je vais chercher dans les aspnetdb.mdf attaché et je selectionne bien password, question et réponse d'un utilisateur.

Simplement, pour ce faire j'ai dû modifier le Provider par défaut pour récupérer le mot de passe et la réponse non-hashés. Pour cela la propriété PasswordFormat est sur CLEAR.

Et c'est cela qui m'embête. La base est protégée, les pages également, seul l'utilisateur à les droits de modif sur ses données d'accés à l'appli, mais le mdp circule en clair dans la trame. Et je ne peux pas être présent sur chaque poste utilisateur pour m'assurer qu'aucun ver, troyen ou keylogger y est installé.

Maintenant, si vous me dites que cela ne pose aucun problème je veux bien vous croire, mais je conserve tout de même un doute, d'autant que par défaut le provider crypte ces données...
Je n'y connais pas grand chose en réseau et cette appli est un intranet, mais quiconque peut tout de même essayer d'accéder au réseau puisque celui ci sera accessible hors du réseau d'entreprise? D'ou mes préoccupations en terme de securité

[nicolas_cs2i]

Effectivement cela n'est en rien protégé et peu fiable niveau sécurité...

[calagan99]

Nous pensons actuellement activer le https sur tout l'intranet grace a IIS.
Je pense que cela reglera une partie du probleme, qu'en pensez-vous?