Запрос пароля. Нужна помощь.

  • Автор темы Leha
  • Дата начала
L

Leha

Всем, привет.

Есть задача... после нажатия кнопки на форме необходимо запросить пароль... И если пароль верный, то - выполнять действия с документом..
Можно ли как-то (и если можно, то как?) запрашивать лотусовый пароль пользователя? Не хочется городить огород с отдельными паролями для этой базы..

Заранее спасиб за ответы/советы.
 
L

Leha

дык пользователь УЖЕ ввел свой пароль при запуске лотуса - зачем ?

Да.. ввел... типа.. безопасность.. он, по глупости, может не залочить свой комп.. мегаВредитель нажмет на заветную кнопку... будет пароль - обломится... такая задумка у заказчика..

пока пришли к мысли, что надо написать мелкую базку, в которой каждый себе заведет документик с паролем (похоже, что в других базах тоже захотят такую защиту на кнопку.. поэтому - отдельная база с паролями).. ну и спрашивать пароль.. и сравнивать с тем, что ввели в эту базку паролей...
примерно так...

Но хотелось бы стандартный запрос пароля.. и пароля лотусового id
 

Medevic

Что это ? :)
Green Team
10.12.2004
3 334
1
BIT
6
Врубите всем автоматическую блокировку через 5 минут.
Или уволить всех, кто не блокирует комп.
 
L

Leha

Врубите всем автоматическую блокировку через 5 минут.
Или уволить всех, кто не блокирует комп.

хихи... ну.. мегаБоссы эти.. н*цензура*кирующие комп... и они же очень хотят такую хрень..
была еще мысль.. по кнопке эмулировать нажатие Ctrl+F5.. но как-то не очень изящно получается ;-)
 
K

Klido

как всё запущено...
а если пользователь войдёт в базу и оставит комп???

по крайней мере надо спрашивать не тот же самый пароль или пароль должен быть на действие в базе, а не на вход в неё...

они же очень хотят такую хрень..
неправильные у вас мегабоссы - хотят больше кнопок нажимать, тогда как ВСЕ даже минибоссы трясут за сингл-логон и пр.

автоблокировка накатывается политиками - кто не блочит сам - тот и получит гемор в виде постоянного ввода именно лотуисного пароля :)
 
L

Leha

как всё запущено...
а если пользователь войдёт в базу и оставит комп???

по крайней мере надо спрашивать не тот же самый пароль или пароль должен быть на действие в базе, а не на вход в неё...



неправильные у вас мегабоссы - хотят больше кнопок нажимать, тогда как ВСЕ даже минибоссы трясут за сингл-логон и пр.

автоблокировка накатывается политиками - кто не блочит сам - тот и получит гемор в виде постоянного ввода именно лотуисного пароля :)

Вот-вот... сингл логон у них и есть.. а по спец-кнопочке очень хотят ввести пароль.. ;) нуу ооочень важный документ обрабатывают ;-)
 
A

amigolinx

А хелп в сторону notesSession.HashPassword и notesSession.VerifyPassword позырить? Там в экзамплах есть и кагбы реализация и намек на то, как запросить через Prompt паролец у мегабосса... Эт не оно случаем?
 
L

Leha

А хелп в сторону notesSession.HashPassword и notesSession.VerifyPassword позырить? Там в экзамплах есть и кагбы реализация и намек на то, как запросить через Prompt паролец у мегабосса... Эт не оно случаем?
Ну... так скажем.. не совсем оно..
т.к. этот пароль там берут откуда-то там (в примерах с environment), а не с Lotus id. Если использовать данные функции мы нарываемся на некоторые неприятности для мегабоссов :newconfus:.. а именно - нужно заставить их ввести какой-то пароль, и чтобы они его не забыли потом..
Но как вариант в отсутствии времени на поиски чего-то лучшего - да..
 
A

amigolinx

т.к. этот пароль там берут откуда-то там (в примерах с environment), а не с Lotus id
не ну вы себе представляете последствия такой хотелки :)
была бы себе такая хацнутая ф-ия типа SECKFMGetPassword для получения пароля из Lotus id, смысл тогда в таком пароле? :please:
 
A

alik86

Да впульните Вы в какой настроечный документ пароль для этого действия (можете так и написать JaMegaBossIMoguVse :please: ), а на клике кнопки вначале выдайте Prompt(PROMPT_PASSWORD,"Password", "Please type your password.") да и проверьте че он там ввел, со всеми вытекающими...
И гемора вроде не много и у боссов будет ощущение секретности. :)
 
T

turumbay

Да.. ввел... типа.. безопасность.. он, по глупости, может не залочить свой комп.. мегаВредитель нажмет на заветную кнопку... будет пароль - обломится... такая задумка у заказчика..
...хотелось бы стандартный запрос пароля.. и пароля лотусового id
"разруха не в клозетах а в головах" (с) М. Булгаков
если он, по глупости, не залочил свой комп - никакой доп. пароль вам не поможет. точка.
так что объясните заказчику - что задумка эта бредовая и накатите политикой автоблокировку.

1/2 OFF:
<div class="sp-wrap"><div class="sp-head-wrap"><div class="sp-head folded clickable">мотивация главбуха</div></div><div class="sp-body"><div class="sp-content">Однажды Сисадмин пожаловался Учителю:
– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
– Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
– Может быть, они не считают пароль ценным?
– А разве пароль сам по себе ценный?
– Не сам по себе. Ценна информация, которая под паролем.
– Для кого она ценна?
– Для нашего предприятия.
– А для пользователей?
– Для пользователей, видимо, нет.
– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
– Что для них ценно? – спросил Сисадмин.
– Догадайся с трёх раз, – рассмеялся Учитель.
Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
 
L

Leha

Да впульните Вы в какой настроечный документ пароль для этого действия (можете так и написать JaMegaBossIMoguVse ;) ), а на клике кнопки вначале выдайте Prompt(PROMPT_PASSWORD,"Password", "Please type your password.") да и проверьте че он там ввел, со всеми вытекающими...
И гемора вроде не много и у боссов будет ощущение секретности. :)

Угу... этот вариант и держится пока как основной... придется им объяснить... что один разок.. ну введите уж пароль.. :please:


А заказчикам что не объясняй - бесполезняк.. бывает уже до такой степени все равно.. что.. да.. сделаем вам вашу хрень.. только отстаньте :)
 
N

nvyush

Leha
Попробуйте использовать сиапишную функцию открытия ид-файла SECKFMOpen. Если я правильно понял её описание, при неверном пароле будет ошибка.

To all
Всё правильно, всё здорово, можно смеяться над мегабоссами и подтрунивать над бедным топикстартером, но .... попробуйте изменить свой пароль в Лотусе. Что он сделает в первую очередь? - Правильно, спросит старый пароль. А зачем, раз мы уже добрались до заветной кнопки? Чтоб ещё раз убедиться, что он имеет дело с конкретным пользователем перед тем, как выполнить ответственное действие. Мегабоссы требуют чего-то подобного.
 
L

Leha

"разруха не в клозетах а в головах" (с) М. Булгаков
если он, по глупости, не залочил свой комп - никакой доп. пароль вам не поможет. точка.
так что объясните заказчику - что задумка эта бредовая и накатите политикой автоблокировку.

1/2 OFF:
<div class="sp-wrap"><div class="sp-head-wrap"><div class="sp-head folded clickable">мотивация главбуха</div></div><div class="sp-body"><div class="sp-content">Однажды Сисадмин пожаловался Учителю:
– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
– Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
– Может быть, они не считают пароль ценным?
– А разве пароль сам по себе ценный?
– Не сам по себе. Ценна информация, которая под паролем.
– Для кого она ценна?
– Для нашего предприятия.
– А для пользователей?
– Для пользователей, видимо, нет.
– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
– Что для них ценно? – спросил Сисадмин.
– Догадайся с трёх раз, – рассмеялся Учитель.
Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.

Объясняли уже и программисты и аналитики, что толку в этом нет.. но..

хихи... жаль.. такие странички добавить у нас нет возможности ;-)

а вобще.. мой опыт подсказывает, что мегабоссы поиграются пару раз с этим паролем и скажут - убрать.. надоело на каждый чих его вводить ;-)
 
T

turumbay

А заказчикам что не объясняй - бесполезняк.. бывает уже до такой степени все равно.. что.. да.. сделаем вам вашу хрень.. только отстаньте :)
совершенно очевидно, что заказчик не разбирается в вопросе. но это как раз нормально.
ему хочеца безопасности и кажется, что он знает решение. пойти у него на поводу == намеренно ввести в заблуждение.
от реализации такой хотелки щастья не будет никому:
безопасность у заказчика ухудшится - т.к. появится ложное ощущение секьюрности.
а у вас испортится карма :)

Обход фичи злоумышленником займет несколько секунд.
Так что советую объяснить последствия и продемонстрировать пути обхода: начиная дебагером, заканчивая smartbutton. Если этого не сделаете вы, все равно кто-нибудь рано или поздно это покажет. В результате, клиент почуствует себя идиотом(в лучшем случае) или "кинутым"( в худшем )
 
T

turumbay

Всё правильно, всё здорово, можно смеяться над мегабоссами и подтрунивать над бедным топикстартером, но .... попробуйте изменить свой пароль в Лотусе. Что он сделает в первую очередь? - Правильно, спросит старый пароль. А зачем, раз мы уже добрались до заветной кнопки? Чтоб ещё раз убедиться, что он имеет дело с конкретным пользователем перед тем, как выполнить ответственное действие. Мегабоссы требуют чего-то подобного.
ИМХО - запрос старого пароля при смене - та еще чушь. Но этот вопрос оставим на совести спецов по юзабилити. Дело не в этом.
Принципиальная разница в том, что если не введешь в клиенте старый пароль - новый задать не получица. И механизма обхода я не знаю. Т.е. несмотря на свою абсурдность( с моей точки зрения), механизм секьюрный.
А если не знаешь пароль от кнопки - ничего страшного. Предложенный механизм - фикция, фуфел. Причем фуфел вредный.
Я не против хотелки, я против предложенной реализации.
Во многих системах есть понятие "повышения привилегий". ИМХО, стоит думать либо в эту сторону, либо все-таки остановиться на блокировке клиента.
Т.е. пусть будет кнопка, но по кнопке происходит смена текущего юзера на юзера, обладающего правами(поля authors) на выполнение операции. Тут прилично головняка, но это "честное" решение.
 
N

nvyush

ИМХО - запрос старого пароля при смене - та еще чушь. Но этот вопрос оставим на совести спецов по юзабилити. Дело не в этом.
Принципиальная разница в том, что если не введешь в клиенте старый пароль - новый задать не получица. И механизма обхода я не знаю. Т.е. несмотря на свою абсурдность( с моей точки зрения), механизм секьюрный.
А если не знаешь пароль от кнопки - ничего страшного. Предложенный механизм - фикция, фуфел. Причем фуфел вредный.
Я не против хотелки, я против предложенной реализации.
Во многих системах есть понятие "повышения привилегий". ИМХО, стоит думать либо в эту сторону, либо все-таки остановиться на блокировке клиента.
Т.е. пусть будет кнопка, но по кнопке происходит смена текущего юзера на юзера, обладающего правами(поля authors) на выполнение операции. Тут прилично головняка, но это "честное" решение.
Согласен, можно обойти секьюрити, если всё делается кнопкой с лс-кодом. Если же кнопка вызывает агента, который спрашивает пароль, то в этом случае обойти не получится.
 
T

turumbay

Согласен, можно обойти секьюрити, если всё делается кнопкой с лс-кодом. Если же кнопка вызывает агента, который спрашивает пароль, то в этом случае обойти не получится.
Но вы же прекрасно знаете, что это не так...
Знаю я пароль или нет - агент запустица с одинаковыми правами. Т.о. защита здесь - интерфейсная, т.е. ее нет( точнее она есть, но фуфел )
З.Ы. А вот мысль родилась: если по кнопке создавать документ, в поле которого писать введенный пароль и толкать на этом доке серверного агента... Если имеем возможность секьюрно передать док до сервера - то мы в дамках?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!