`
zhangym195
  • 浏览: 123329 次
  • 性别: Icon_minigender_1
  • 来自: 黑龙江
社区版块
存档分类
最新评论

"为 Internet 口令提供更多的安全性"带来的 web 用户密码修改的问题

阅读更多

     在Lotus Notes中有一项“为 Internet 口令提供更多的安全性”是改善Lotus Notes Domino的Internet 密码安全性的选项,当选项设置为 Yes 时,Internet会以一种动态的Has方式来进行加密,每次修改加密串都是不一样的。

  1、配置方法:

  这样就增加了密码破解的难度,其配置方法如下:

   输入 Internet 口令并保存“个人”文档后,Domino 自动单向加密 Internet 口令域。要提高访问 Domino 4.6 或更高版本服务器的用户的口令安全性,可以使用更安全的口令格式。
可升级现有的“个人”文档的口令格式,或者自动对创建的所有“个人”文档使用更安全的口令格式。
现有的“个人”文档
  1. 从 Domino Administrator 中,单击“个人和群组”,然后选择要升级到更安全的口令格式的“个人”文档。
  2. 选择“操作”“升级到更安全的 Internet 口令格式”
  3. 单击“是”。
新的“个人”文档
  1. 从 Domino Administrator 中,单击“配置”,然后选择“所有服务器文档”。
  2. 选择“操作”“编辑目录简要表”。
  3. 在“使用更安全的 Internet 口令”域中选择“是”。
  4. 保存并关闭文档。
注意  如果您选择将用户的 Internet 口令与其 Notes 口令同步,则需要更安全的口令格式。

    一旦更改并且用户文档经保存,则手动不能再改回普通加密方式,因为Domio会在用户的文档中增加一个安全域: $SecurePassword ,此域的值为1,除非用代理将其移除。

2、Web用户修改密码时验证问题:

    在用户输入旧密码时,我们可以从web页面上的 oldPassword 字段 取用户输入的旧密码,同用户文档中保存的原始旧密码进行比对,得到判断是否是用户本人在修改密码。

   1)普通加密方式 可以使用

oldPasswd = Evaluate("@Password('" + curdoc.oldPassword(0)) + "')" )
if (oldPasswd(0) = namesdoc.Httppassword(0) ) then 
           // 
 End if

 

   2)由于采用了Hash加密方式用户文档中的密码与当前生的密码不能再用相等否的方式进行判断,解决方法是:如下代码中的绿色背影处,现是检查用户输入的记忆中的旧密码,与用户文档中存储的Hash加密后的密码串是否具有依赖关系,有由密码一致,否则旧密码不符

   

  If newPasswd = confimPasswd Then
  'Msgbox namesdoc.HTTPPassword(0) +" == ?" + Cstr(s.VerifyPassword(oldPasswd,s.HashPassword(namesdoc.HTTPPassword(0))))
  If  Not s.VerifyPassword(oldpasswd,s.HashPassword(namesdoc.HTTPPassword(0))) Then   
   Print|
   <script language=javascript>
   alert("旧密码不正确!")
   history.go(-1)
   </script>|
   Exit Sub   
  End If
  
  macro$ = "@Hashpassword('"+ newPasswd +"')" '修改密码
  result =  Evaluate(macro$)
  namesdoc.HTTPPassword = result(0) 
  Call namesdoc.Save(True,True)
  
  '成功修改用户密码提示信息  
  Print|
  <script language=javascript>
  alert("用户密码修改成功!\n新更改的密码15分钟后生效!")
  window.location='oa/mainoa.nsf?logout'; 
  </script>|
 Else 
  
  Print|
  <script language=javascript>
  alert("新密码与确认密码不一致,请重新输入!")
  history.go(-1)
  </script>|
  Exit Sub
 End If

 

分享到:
评论

相关推荐

    许昌学院《Web安全》5次作业答案.pdf

    3. **弱口令漏洞**:使用弱密码可以使攻击者更容易地猜测并获取未授权的访问权限。 4. **文件上传漏洞**:如果Web应用没有正确验证上传文件的安全性,可能会允许上传恶意文件,从而破坏服务器的安全。 ### Web安全...

    WEB安全测试工具

    WEB安全测试是一种检测和评估Web应用程序和服务器安全性的方法。为了帮助用户造就安全的Web站点,扫描程序可以在黑客“黑”你之前,先测试一下自己系统中的漏洞。下面是10大Web漏洞扫描程序,供您参考。 1. Nikto:...

    关于Lotus Domino平台安全漏洞的整改手册.doc

    在IBM Lotus Domino Administrator中,编辑“当前服务器文档”的目录简要表,启用“使用更安全的Internet口令”,提高密码存储的安全性。 **第四章 调整names.nsf库的Person表单** 在IBM Lotus Domino Designer中,...

    谈Linux环境下的Apache服务器的安全性及其实现.pdf

    然而,安全性是任何网络服务的核心问题,尤其是对于处理敏感信息的Web服务器而言。Apache提供了多种安全模块来保护服务器免受攻击,同时允许管理员通过精细的配置来确保安全。 Apache的安全模块主要包括: 1. **...

    信息安全等级保护测评作业指导书(IIS6.pdf

    - 匿名身份验证通常用于公开信息的访问,而基本身份验证则要求用户提供用户名和密码,提供更高级别的安全性。 - 根据系统要求,可以启用Windows域服务器的摘要身份验证或其他验证方式,但应谨慎使用。 - 禁用未...

    WEBIIS 网页IIS

    【标题】"网页IIS"指的是Windows操作系统中的Internet Information Services(IIS),它是一个功能强大的Web服务器软件。IIS由微软公司开发,用于发布、管理和维护互联网和内部网的Web内容。 【描述】"WEBIIS 网页...

    计算机网络安全问题及防范措施.docx

    安全技术 近年来,计算机网络技术在全球迅猛发展,为人们的生活提供较多的便利,然而网络信息化是柄双刃剑,在给人们带来享受的时候,也使我们信息安全受到严重的威胁,例如:黑客、病毒,系统泄密等。近年来,人们...

    网络安全培训.pptx.pptx

    安全培训 2013年3月26日 网络安全培训全文共58页,当前为第1页。 2 当前的安全威胁 常用威胁及应对 漏洞攻击演示 总体解决思路 培训内容 网络安全... 17 口令攻击演示:密码破解 网络安全培训全文共58页,当前为第17页

    网络安全及应对策略(全文).docx

    同时,由于威胁XX络安全的因素很多,还必须要结合实际情况来进行防范,只有这样才能真正的提高计算机XX络的安全性,使XX络技术能够更好的为人们服务。 安徽省第一轻工业学校 网络安全及应对策略(全文)全文共3页,...

    计算机网络安全与管理.doc

    如何更有效地保护重要的信息数据,提高 计算机网络系统的安全性,已经成为所有计算机网络应用必须考虑和解决的一个重要问 题。 关键词:计算机网络;网络安全;病毒防范 1 影响计算机网络安全的各种因素 1.1 计算机...

    Windows_Server_2003服务器配置与管理

    IIS 6.0不仅提升了管理效率,还增强了系统的可用性、可靠性和安全性,为开发者提供了更广阔的平台。它支持HTTP、FTP等多种协议,并且对动态内容处理,如ASP(Active Server Pages)有着出色的支持,使得开发基于Web...

    网管教程 从入门到精通软件篇.txt

    如果有多引导系统的计算机,必须保证是在包含 Windows 的驱动器上使用该命令。 Diskpart  创建和删除硬盘驱动器上的分区。diskpart 命令仅在使用故障恢复控制台时才可用。  diskpart [ /add |/delete] [device_...

    渗透测试行业 网络安全 黑客术语

    渗透测试**:一种模拟真实攻击的测试方法,旨在评估系统的安全性。通过模拟黑客的行为和技术,发现并报告潜在的安全漏洞。 **2. 网络安全**:指确保网络及其资源处于良好状态,并能够提供可靠的服务,防止未经授权...

    CAD机械制图基础教程课件第章完美版资料.pptx

    总的来说,这门课程详细阐述了AutoCAD 2004在互联网环境下的运用,旨在提升用户在远程协作和信息交换中的效率,确保图形数据的完整性和安全性。通过学习这些章节,初学者将能够熟练地在Internet上进行CAD制图工作,...

    IPC$空连接主机的攻击技巧

    - **权限提升**: 获得普通用户权限后,寻找方法将其升级为超级用户权限,以便获得更高的系统控制权。 #### 4. 进一步的攻击行动 - **文件传输**: 成功连接后,攻击者可以使用`copy`命令上传恶意文件或修改目标主机...

    在线考试系统文献综述

    本文重点论述了由于网络的存在扩大了学校的服务范围,为学校的管理提供了更多的条件。对此做出了详细的调查,可行性研究和分析。系统采用了B/S结构,在网络上建立学校自己的教育网站。系统开发经历了系统分析、系统...

    MySQL、Oracle、SqlServer三种数据库的优缺点.pdf

    SQL Server提供了对XML的原生支持,可以在Internet上进行跨防火墙的查询,显示了其对Web的全面支持。此外,SQL Server的性价比也相对较高,适合快速开发企业级应用。然而,它的缺点也很明显,只能在Windows操作系统...

Global site tag (gtag.js) - Google Analytics