Discussion :

[zooffy]

Salut

Je me demandais un truc dans le cadre du MemberShip :
vu qu'on a tout ce qu'il faut pour créer un utilisateur, récupérer son mot de passe, afficher son staut de connexion, et patati, et patata.

Est ce que vous connaissez un truc pour afficher les info de son profile ?
Genre, pouvoir afficher sa question magique et la réponse qui va avec, voir même les changer.
Genre, si on a rajouter des propriétés pouvoir faire un listing direct et facile.

Parce que, j'ai bien regardé la boite à outils et bof, y a rien.

Mais peut être que c'est caché quelquepart, peut être que quelqu'un à fait un truc facile à adapter.

Peut être que c'est moi qui vais me taper une connerie dans ce genre là.
Bon, si vous avez un truc, dites le moi, sinon, je vasi voir à faire une petite classounnette, ou un objetino...

[EMC51]

tu retrouves ces infos dans les tables aspnetdb générées dans la base qui va bien. Mais attention, la question magique est cryptée !...

Pour les utilisateurs, tu as aspnet_users, aspnet_membership et aspnet_profile pour les profils.

Un certain nombre de ps existentpour creer/supprimer un utilisateur ou gérer des droits.

Il me semble aussi qu'il existe les sources en C# des classes de gestion mais j'avais cru voir ça une fois et je n'ai jamais réussi à remettre la main dessus !...

[zooffy]

Ouais, donc en gros, y a rien pour aller chercher dynamiquement les infos d'un profil.

Tout ce que tu décris là, je l'ai vu, mais à bien y regarder, on n'affiche aps grnad chose.

Bon, ben je vais me colter la création d'un "objet" pour faire ça de manière un peu plus automatique. Genre parcourir la collection d'infos rajoutée et mettre ça en forme et pouvoir modifier ces infos.

Pour tout ce qui est droits, c'est du domaine de l'administration, donc plus pour un webmaster. Mon idée est bien de donner à l'utilisateur la possibilités de mondifer ses propres infos lui même. Donc, peut être avec un autre objet.

Pour la question, oui, le cryptage risque de poser un gros problème, tant pis. Peut être avec une réinscription, comme pour le mot de passe. Ou alors, il faut que je prenne en compte la suppression du cryptage, vu que c'est une possibilité de configuration.

Mais je reste étonné que personne n'ait fait un truc dans ce genre là. ou laors, c'est y a beaucoup de gens qui préfèrent garder leur code, plutôt que de partager avec les copains...........

Bon, allez, je me mets au boulot et je reviens dans le coin pour voire comment je peux le partager avec les copains !

[dinguot]

Si tu as modifier ton profile dans le web.config alors un objet ASP.NET nommé Profile va être automaquement créé

[calagan99]

Pour la question, oui, le cryptage risque de poser un gros problème, tant pis. Peut être avec une réinscription, comme pour le mot de passe. Ou alors, il faut que je prenne en compte la suppression du cryptage, vu que c'est une possibilité de configuration.

La solution que j'applique, elle vaut ce qu'elle vaut et n'a qu'un but d'exemple, et de passer les mdp, infos de profile et toutes les données sensibles en clair, sans cryptage, mais avec activation du https dans IIS.
De cette maniere, lors des echanges d'infos sensibles, l'echange est crypté via SSL.
Maintenant, mes regles de gestion me le permettent, ce n'est peut etre pas ton cas.

J'avais posé cette question il y a quelques semaines et tu m'avais dis que tu y jetterais un coup d'oeil. Galere tout de meme !!!

[zooffy]

Oui, c'esr vrai, j'avais dit ça.

L'ennui c'est que, entre temps, j'ai pris un autre site dans la poire et je suis un peu débordé.

Normalement je fini ce bon dieu de site cette semaine, donc je vais pouvoir me remettre sur l'autre où je gère le MemberShip.

Et donc, je vais peut être faire des tests avec HTTPS, même si normalement, je ne peux l'utiliser en prod.

Par contre, j'ai tout de même vu deux ou trois trucs et particulièrement sur le passage de données : visiblement les composants d'indentification et de changement de mot de passe utilisient une méthode POST, donc ne passe pas comme ça entre les pages. Bien sûr il reste toujours possible de capter le flux, mais perso, je ne sais pas comment faire.

Donc, du coup, si les infos ne sont pas cryptées, le risque est moins grand que si ça passait en GET.

enfin, lorsque je vais tenté de créer ce petit composant, je vais, dans un premier temps, partir du pricipe qu'on n'a pas activé le cryptage des info avec le MD5.

PS pourdinguot : j'avais vu, merci de ton aide.

[calagan99]

Par contre, j'ai tout de même vu deux ou trois trucs et particulièrement sur le passage de données : visiblement les composants d'indentification et de changement de mot de passe utilisient une méthode POST, donc ne passe pas comme ça entre les pages. Bien sûr il reste toujours possible de capter le flux, mais perso, je ne sais pas comment faire.

Donc, du coup, si les infos ne sont pas cryptées, le risque est moins grand que si ça passait en GET.

j'ai sniffé le flux avec ETHEREAL pour voir ce que je trouvais et si les infos sensibles passaient en clair, mais je n'ai rien trouvé.
Cependant, je pense que d'autres y arrivent trés bien...

[zooffy]

Je suis pas si sur que ça.
Si j'ai bien compris le fonctionnement de .NET, les info passées en POST sont dans le ViewState. Et, toujours si j'ai bien compris, le ViewState est pas si simple que ça à "décrypter". Le format des données dedans est propre au FrameWork.

Donc, sans que ça soit impossible, il y a toujorus des petits malins, plus malins que les autres, je pense que ça va bloquer pas mal de gens.

En tout cas, je vais faire une première version, je pense attaquer Jeudi. ensuite, je verrai comment aprtager le boulot, comme ça, si d'autre développeur veulent bien mettre la main à la pâte, ben on aura un beau truc.

[SaumonAgile]

Je suis pas si sur que ça.
Si j'ai bien compris le fonctionnement de .NET, les info passées en POST sont dans le ViewState. Et, toujours si j'ai bien compris, le ViewState est pas si simple que ça à "décrypter". Le format des données dedans est propre au FrameWork.

Le ViewState est simplement encodé en base 64. Ce n'est pas chiffré.
Il suffit simplement de savoir lire en base 64 (ce que tout développeur qui se respecte est capable de faire simplement en regardant la chaine )

[calagan99]

Ouais, bah voila qui n'arrange pas notre probleme.

@SaumonAgile: Que penses tu de la solution que je propose à savoir login et mdp non chiffrés mais activation du https via IIS pour l'accés aux pages nécessitant authentification ?

Sinon, as tu mieux à proposer ?


@Zoofy: comme tu as pu le voir depuis que je traine sur le forum, je suis débutant et j'ai encore pas mal de difficultés sur certaines choses. Mais j'ai énormément appris en peu de temps et si tu as besoin d'aide pour ce petit projet, je serais assez partant. Avec un brin de courage et deux doigt de guidage, je trouverai le temps et l'envie de m'y mettre aprés les taf.

Si tu as du nouveau sur le sujet, tu sais que ca m'interesses, hein