Запрос пароля. Нужна помощь.

Тема в разделе "Общие вопросы по лотус-технологиям", создана пользователем Leha, 30 дек 2009.

  1. Leha

    Leha Гость

    Всем, привет.

    Есть задача... после нажатия кнопки на форме необходимо запросить пароль... И если пароль верный, то - выполнять действия с документом..
    Можно ли как-то (и если можно, то как?) запрашивать лотусовый пароль пользователя? Не хочется городить огород с отдельными паролями для этой базы..

    Заранее спасиб за ответы/советы.
     
  2. Klido

    Klido Гость

    дык пользователь УЖЕ ввел свой пароль при запуске лотуса - зачем
    ?
     
  3. Leha

    Leha Гость

    Да.. ввел... типа.. безопасность.. он, по глупости, может не залочить свой комп.. мегаВредитель нажмет на заветную кнопку... будет пароль - обломится... такая задумка у заказчика..

    пока пришли к мысли, что надо написать мелкую базку, в которой каждый себе заведет документик с паролем (похоже, что в других базах тоже захотят такую защиту на кнопку.. поэтому - отдельная база с паролями).. ну и спрашивать пароль.. и сравнивать с тем, что ввели в эту базку паролей...
    примерно так...

    Но хотелось бы стандартный запрос пароля.. и пароля лотусового id
     
  4. Medevic

    Medevic Что это ? :)
    Lotus team

    Регистрация:
    10 дек 2004
    Сообщения:
    3.346
    Симпатии:
    2
    Врубите всем автоматическую блокировку через 5 минут.
    Или уволить всех, кто не блокирует комп.
     
  5. Leha

    Leha Гость

    хихи... ну.. мегаБоссы эти.. н*цензура*кирующие комп... и они же очень хотят такую хрень..
    была еще мысль.. по кнопке эмулировать нажатие Ctrl+F5.. но как-то не очень изящно получается ;-)
     
  6. Klido

    Klido Гость

    как всё запущено...
    а если пользователь войдёт в базу и оставит комп???

    по крайней мере надо спрашивать не тот же самый пароль или пароль должен быть на действие в базе, а не на вход в неё...

    неправильные у вас мегабоссы - хотят больше кнопок нажимать, тогда как ВСЕ даже минибоссы трясут за сингл-логон и пр.

    автоблокировка накатывается политиками - кто не блочит сам - тот и получит гемор в виде постоянного ввода именно лотуисного пароля :)
     
  7. Leha

    Leha Гость

    Вот-вот... сингл логон у них и есть.. а по спец-кнопочке очень хотят ввести пароль.. ;) нуу ооочень важный документ обрабатывают ;-)
     
  8. amigolinx

    amigolinx Гость

    А хелп в сторону notesSession.HashPassword и notesSession.VerifyPassword позырить? Там в экзамплах есть и кагбы реализация и намек на то, как запросить через Prompt паролец у мегабосса... Эт не оно случаем?
     
  9. Leha

    Leha Гость

    Ну... так скажем.. не совсем оно..
    т.к. этот пароль там берут откуда-то там (в примерах с environment), а не с Lotus id. Если использовать данные функции мы нарываемся на некоторые неприятности для мегабоссов :newconfus:.. а именно - нужно заставить их ввести какой-то пароль, и чтобы они его не забыли потом..
    Но как вариант в отсутствии времени на поиски чего-то лучшего - да..
     
  10. amigolinx

    amigolinx Гость

    не ну вы себе представляете последствия такой хотелки :)
    была бы себе такая хацнутая ф-ия типа SECKFMGetPassword для получения пароля из Lotus id, смысл тогда в таком пароле? :please:
     
  11. alik86

    alik86 Lotus team
    Lotus team

    Регистрация:
    20 ноя 2008
    Сообщения:
    465
    Симпатии:
    0
    Да впульните Вы в какой настроечный документ пароль для этого действия (можете так и написать JaMegaBossIMoguVse :please: ), а на клике кнопки вначале выдайте Prompt(PROMPT_PASSWORD,"Password", "Please type your password.") да и проверьте че он там ввел, со всеми вытекающими...
    И гемора вроде не много и у боссов будет ощущение секретности. :)
     
  12. turumbay

    Регистрация:
    13 мар 2009
    Сообщения:
    625
    Симпатии:
    2
    "разруха не в клозетах а в головах" (с) М. Булгаков
    если он, по глупости, не залочил свой комп - никакой доп. пароль вам не поможет. точка.
    так что объясните заказчику - что задумка эта бредовая и накатите политикой автоблокировку.

    1/2 OFF: http://infowatch.livejournal.com/16359.html:
    <div class="sp-wrap"><div class="sp-head-wrap"><div class="sp-head folded clickable">мотивация главбуха</div></div><div class="sp-body"><div class="sp-content">Однажды Сисадмин пожаловался Учителю:
    – Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
    Инь Фу Во спросил:
    – Сначала скажи, почему они это делают.
    Сисадмин подумал и ответил:
    – Может быть, они не считают пароль ценным?
    – А разве пароль сам по себе ценный?
    – Не сам по себе. Ценна информация, которая под паролем.
    – Для кого она ценна?
    – Для нашего предприятия.
    – А для пользователей?
    – Для пользователей, видимо, нет.
    – Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
    – Что для них ценно? – спросил Сисадмин.
    – Догадайся с трёх раз, – рассмеялся Учитель.
    Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
     
  13. Leha

    Leha Гость

    Угу... этот вариант и держится пока как основной... придется им объяснить... что один разок.. ну введите уж пароль.. :please:


    А заказчикам что не объясняй - бесполезняк.. бывает уже до такой степени все равно.. что.. да.. сделаем вам вашу хрень.. только отстаньте :)
     
  14. nvyush

    nvyush Lotus team
    Lotus team

    Регистрация:
    22 апр 2009
    Сообщения:
    2.317
    Симпатии:
    0
    Leha
    Попробуйте использовать сиапишную функцию открытия ид-файла SECKFMOpen. Если я правильно понял её описание, при неверном пароле будет ошибка.

    To all
    Всё правильно, всё здорово, можно смеяться над мегабоссами и подтрунивать над бедным топикстартером, но .... попробуйте изменить свой пароль в Лотусе. Что он сделает в первую очередь? - Правильно, спросит старый пароль. А зачем, раз мы уже добрались до заветной кнопки? Чтоб ещё раз убедиться, что он имеет дело с конкретным пользователем перед тем, как выполнить ответственное действие. Мегабоссы требуют чего-то подобного.
     
  15. Leha

    Leha Гость

    Объясняли уже и программисты и аналитики, что толку в этом нет.. но..

    хихи... жаль.. такие странички добавить у нас нет возможности ;-)

    а вобще.. мой опыт подсказывает, что мегабоссы поиграются пару раз с этим паролем и скажут - убрать.. надоело на каждый чих его вводить ;-)
     
  16. turumbay

    Регистрация:
    13 мар 2009
    Сообщения:
    625
    Симпатии:
    2
    совершенно очевидно, что заказчик не разбирается в вопросе. но это как раз нормально.
    ему хочеца безопасности и кажется, что он знает решение. пойти у него на поводу == намеренно ввести в заблуждение.
    от реализации такой хотелки щастья не будет никому:
    безопасность у заказчика ухудшится - т.к. появится ложное ощущение секьюрности.
    а у вас испортится карма :)

    Обход фичи злоумышленником займет несколько секунд.
    Так что советую объяснить последствия и продемонстрировать пути обхода: начиная дебагером, заканчивая smartbutton. Если этого не сделаете вы, все равно кто-нибудь рано или поздно это покажет. В результате, клиент почуствует себя идиотом(в лучшем случае) или "кинутым"( в худшем )
     
  17. Leha

    Leha Гость

    оки. Спасибо.. попробуем..
     
  18. turumbay

    Регистрация:
    13 мар 2009
    Сообщения:
    625
    Симпатии:
    2
    ИМХО - запрос старого пароля при смене - та еще чушь. Но этот вопрос оставим на совести спецов по юзабилити. Дело не в этом.
    Принципиальная разница в том, что если не введешь в клиенте старый пароль - новый задать не получица. И механизма обхода я не знаю. Т.е. несмотря на свою абсурдность( с моей точки зрения), механизм секьюрный.
    А если не знаешь пароль от кнопки - ничего страшного. Предложенный механизм - фикция, фуфел. Причем фуфел вредный.
    Я не против хотелки, я против предложенной реализации.
    Во многих системах есть понятие "повышения привилегий". ИМХО, стоит думать либо в эту сторону, либо все-таки остановиться на блокировке клиента.
    Т.е. пусть будет кнопка, но по кнопке происходит смена текущего юзера на юзера, обладающего правами(поля authors) на выполнение операции. Тут прилично головняка, но это "честное" решение.
     
  19. nvyush

    nvyush Lotus team
    Lotus team

    Регистрация:
    22 апр 2009
    Сообщения:
    2.317
    Симпатии:
    0
    Согласен, можно обойти секьюрити, если всё делается кнопкой с лс-кодом. Если же кнопка вызывает агента, который спрашивает пароль, то в этом случае обойти не получится.
     
  20. turumbay

    Регистрация:
    13 мар 2009
    Сообщения:
    625
    Симпатии:
    2
    Но вы же прекрасно знаете, что это не так...
    Знаю я пароль или нет - агент запустица с одинаковыми правами. Т.о. защита здесь - интерфейсная, т.е. ее нет( точнее она есть, но фуфел )
    З.Ы. А вот мысль родилась: если по кнопке создавать документ, в поле которого писать введенный пароль и толкать на этом доке серверного агента... Если имеем возможность секьюрно передать док до сервера - то мы в дамках?
     
Загрузка...

Поделиться этой страницей