none
Error: Use SSL when you use Basic authentication RRS feed

  • Domanda

  • Ciao a tutti, ho a avuto da poco un problema con Exchagne 2010 SP2 di certificato scaduto.

    L'ho aggiunto, ma comunque l'OWA da web non andava, e tutti gli Iphone altrettanto.

    Ho capito che non era applicato in: "SITE BINDINGS".

    Ho aggiunto la voce "https" con l'ip del server Exchagne e il certificato valido, e ora è a posto. (Tra l'altro non sono stato a capire perchè ci sono 3 certificati di cui solo uno valido visto che ne ho creato solo uno).

    Comunque dalla scansione "Scan This Role" delle Best Practices Analyzer viene ancora fuori questo errore (veniva già fuori prima delle mie modifiche in "SITE BINDINGS" ma non se nè andato via):

    ------------------------------------------------------------------

    Title: Use SSL when you use Basic authentication

    Severity: Error

    Date: 09/01/2013 16:07:55

    Category: Security

    Details:

    Issue:

    Basic authentication is enabled for configuration path 'MACHINE/WEBROOT/APPHOST' but it lacks a required SSL binding.

    Impact:

    If you use Basic authentication without SSL, credentials will be sent in clear text that might be intercepted by malicious code.

    Resolution:

    Use Basic authentication with an SSL binding, and make sure that the site or application is set to require SSL. Alternatively, use a different method of authentication.

    ------------------------------------------------------------------

    Avete idea di cosa dovrei ancora fare per risolverlo?

    Grazie!

    mercoledì 9 gennaio 2013 15:27

Risposte

  • Ho trovato questo:

    http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/6f815d7d-f5b7-48fc-9990-1125c0c76c62/

    In pratica io disabiliterei la Basic Auth in generale (apri la console di IIS e seleziona il server sulla sinistra, poi nel riquadro di destra scegli Authentication) , per poi abilitarla esclusivamente sulle virtualdir su cui serve effettivamente. Ho verificato ed è così qui da me.

    Ciao,


    Dario Palermo

    • Proposto come risposta Anca Popa giovedì 10 gennaio 2013 14:40
    • Contrassegnato come risposta Anca Popa mercoledì 16 gennaio 2013 08:56
    mercoledì 9 gennaio 2013 17:21

Tutte le risposte

  • Ho trovato questo:

    http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/6f815d7d-f5b7-48fc-9990-1125c0c76c62/

    In pratica io disabiliterei la Basic Auth in generale (apri la console di IIS e seleziona il server sulla sinistra, poi nel riquadro di destra scegli Authentication) , per poi abilitarla esclusivamente sulle virtualdir su cui serve effettivamente. Ho verificato ed è così qui da me.

    Ciao,


    Dario Palermo

    • Proposto come risposta Anca Popa giovedì 10 gennaio 2013 14:40
    • Contrassegnato come risposta Anca Popa mercoledì 16 gennaio 2013 08:56
    mercoledì 9 gennaio 2013 17:21
  • Ciao,

    Ho evidenziato la risposta di Dario che ti offre qualche spunto valido per molti scenari simili.

    Se vuoi condividere la tua esperienza con gli altri utenti del forum e raccontarci come hai risolto, il tuo contributo sarà sicuramente utile per gli altri utenti del forum che magari riscontrano problematiche simili.

    Grazie a tutti della partecipazione nel forum!


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    martedì 15 gennaio 2013 14:18