• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

требуется авторизация при использовании Window.showmodaldialog

  • Автор темы Akupaka
  • Дата начала
A

Akupaka

Всем привет! :)

Мож кто еще сталкивался с подобной проблемой, то мож мне подскажут? ;)

в общем, проблема в следующем:
в коде веб-приложения вызывается метод IE window.showModalDialog, в котором отображается форма из текущей БД, на этой форме есть ссылочка, кот. обращается к ресурсу (форме) в текущей БД...

так вот, на одном сервере все работает корректно, но на другом при клике по вышеуказанной ссылке вместо формы открывается стандартный диалог авторизации пользователя...

я так подозреваю, что дело в настройках серваков, но вот в каких именно не могу отловить, вроде уже все настройки сделал по аналогии с работающим сервером, но результата добиться не могу...

кто знает че нужно глянуть?..

заранее спасибо :)
 
F

fvoice

Для: Akupaka
<!--QuoteBegin-Akupaka+22:01:2008, 21:00 -->
<span class="vbquote">(Akupaka @ 22:01:2008, 21:00 )</span><!--QuoteEBegin-->так вот, на одном сервере все работает корректно, но на другом при клике по вышеуказанной ссылке вместо формы открывается стандартный диалог авторизации пользователя...
[snapback]94551" rel="nofollow" target="_blank[/snapback]​
[/quote]
Вы работаете авторизованным пользователем?
Internet ptotocols - Domino Web Engine -Session authentification стоит Multiple Servers?

+
сравните свойства Internet Authentifications и Allow anonymous connections на вкладке Security серверных документов
 
A

Akupaka

fvoice сказал(а):
Для: Akupaka
Вы работаете авторизованным пользователем?
Нажмите, чтобы раскрыть...
Да

fvoice сказал(а):
Internet ptotocols - Domino Web Engine -Session authentification стоит Multiple Servers?
Нажмите, чтобы раскрыть...
Single server

fvoice сказал(а):
сравните свойства Internet Authentifications и Allow anonymous connections на вкладке Security серверных документов
Нажмите, чтобы раскрыть...
Internet Authentifications: Fewer / higher
Allow anonymous connections: No

единственная разница - то, что тот сервер, на кот. "работает", подтягивает настройки из документа сайта...

я думаю, что там какая-то заковырка есть... но вот какая?.. :)
 
A

Akupaka

в общем, по моим наблюдениям, возможно я и не прав, получается так:

когда происходит вызов window.showModalDialog, то сервер открывает окно диалога от имени текущего пользователя, но, почему-то, обращения из окна диалога к БД воспринимается уже от имени пользователя "Anonymous", и, соотв., получаем запрос авторизации...

самое интересное, что пока я не трогал ТУД БД на работающем сервере, там нормально все работало, а после того как я убрал, а потом снова добавил анонимного пользователя без права доступа, то перестало работать и на втором сервере :) вот такой глюк интересный произошел...
 
F

fvoice

Для: Akupaka
Вы используете стандартную форму авторизации?
Вы уверены что пользователь становится Anonymous? Может просто Ваша форма не позволяет текущему пользователю ее просмотр? Попробуйте открыть только эту форму.
Какой максимальный уровень доступа к БД из под Web? кмк если reader и форма не для Public Access, то ее не сможет открыть под Web никто! Ведь она же открывается на редактирование!

У меня разрешены анонимные подключения, и для авторизации можно использовать короткие имена.
К БД доступ Web пользователям Author, все нормально работает, авторизация не слетает.


__________
имхо все дело в уровне доступа к БД Web пользователей.
 
A

Akupaka

Для: fvoice
форма авторизации стандартная, но это не должно никак влиять...
макс. уровень - редактор
то, что пользователь - аноним, говорит лог сервера, при включенных переменных WebSess_Verbose_Trace=1 и WebAuth_Verbose_Trace=1.
все остальное - сам пробовал ;)
да и форма в диалоге сама-то открывается, а вот из нее уже авторизация от имени анонима идет... (возможно в первом посте это плохо указано было).

т.е. такая схема:

БД Тест
- форма ВебДиалог1
- - ссылка на "Форма2?OpenForm"

форма ВебДиалог1 открывается с помощью метода window.showModalDialog()

вот попробуйте установить переменные и потестить диалог, думаю обнаружите все сами :)

ЗЫ: а ставить анонима низя - правило проекта...

ЗЫ2: я когда к базе анониму дал доступ, то тоже заработало :)
 
F

fvoice

Для: Akupaka
я спросил про форму авторизации, потому что на стандартной есть Computed Text, вычисляемый от значения поля reasonType, который в случае нехватки прав на просмотр, выводит об этом сообщение и предлагает авторизироваться кем-нибудь, у кого прав больше (я подумал, возможно эту ситуацию Вы могли воспринять как сброс авторизации)..

записал переменные, рестартанул HTTP, авторизируюсь, в логе ничего не видно..
появилась только надпись WEBAUTH_VERBOSE_TRACE changed to 1.

Схема для проверки у меня такая же:
БД index.nsf (пользователь имеет уровень доступа Author, Maximum Internet Name and Password к БД тоже Author, Анонима удалил из ТУД, Default Access - No Access)
форма Form (Public Access запрещен, дефолтный доступ на чтение - все читатели и выше, дефолтный доступ на создание - все авторы и выше) содержит кнопку с кодом window.showModalDialog("/index.nsf/ModalForm?openform")
форма ModalForm параметры те же что и у формы Form
Запретил анонимные подключения к серверу, HTTP перегрузил

открываю форму, авторизируюсь, нажимаю на кнопку - все работает как часы!

Ссылка на форму получается в том же домене?
если в появившейся форме авторизироваться переходит ли на нужную форму?

У меня сервер 7.0.2, в 6-ом сервере работают ограничения (есть и в 7-ке для совместимости):
Run restricted Java/JavaScript/COM
Run unrestricted Java/JavaScript/COM
Пользователь прописан в этих полях?
 
A

Akupaka

у меня Аноним в ТУД явно - Нет доступа.
на счет переменных, там еще вторую я добавлял: WebSess_Verbose_Trace=1
по-моему, именно она отписывала данные об авторизации (приду на работу порою логи, скину точную строчку)...

еще раз уточню:
форма диалога у меня открывается, в модальном окне, как положено, в общем...
авторизацию просит, если обращаться к ресурсу из формы диалога :D
 
A

Akupaka

в общем, я уже в который раз чувствую себя идиотом из-за лотуса...
не могу воспроизвести ситуацию, вроде все настроил "как надо" :D
а падла подхватывает авторизацию нужную...

короче, сори за то, что потревожил... (
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ