我知道一个TFS 2010服务器,我可以通过创建TfsConfigurationServer来连接,但不设置任何凭据。TFS 2010安全
TfsConfigurationServer configurationServer = new TfsConfigurationServer(new Uri("address"))
连接后,我能够检索所有的团队项目集合和相应的团队项目。这不是一个安全漏洞吗?我不确定,因为我是TFS api的新手。
是否每个TFS服务器都允许列出像这样的团队项目?如果这是一个漏洞如何解决它?
它可能不是你不使用任何凭据是,那就是你不明确指定任何凭据。在这种情况下,将使用您登录的用户凭据,您将无需输入用户名和密码即可登录。
一个三件事情很可能发生的事情:
您登录到您的工作站作为域用户。您要连接到的TFS服务器已加入到您登录到的域的信任关系域。您的域用户具有适当的权限来连接和查询团队项目集合列表。
您的计算机和TFS服务器之间没有信任关系,但您在服务器上的工作站上有相同的用户名/密码配置。 (即,您正在使用“影子帐户”或“镜像本地帐户”)。您的TFS服务器上的用户具有适当的权限来连接和查询团队项目集合列表。
您在Windows Credential Manager中有credentials saved for this host。这些凭据具有适当的权限来连接和查询团队项目集合列表。
如果这两个东西一个是不正确的,你反而会需要提供明确的用户名/密码凭据有权限连接和查询团队项目集合列表的帐户。
它可能有可能在IIS中启用匿名访问,并允许访客用户访问列出TFS中的项目集合,但我不知道有谁做过这些。我从未测试过这个场景。
在任何情况下,如果您正在查看启用了此功能的服务器,则这确实不是常态。
您的用户帐户是否有权登录到TFS服务器? – 2012-07-31 19:12:37
thx您的回复。我没有使用任何帐户。 1)我试图通过互联网从我的电脑远程2)我的电脑甚至没有在iplc或vpn.3)我甚至没有我的电脑的登录ID /密码。任何想法如何这是可能的?thx – Sat 2012-08-01 04:56:33
你怎么没有一个登录ID为您的计算机。这甚至有可能吗?您必须以* someone *的身份登录......我的意思是,Windows带有一个内置的访客帐户,但我怀疑这些是您的客户端凭据。您可以打开服务器上的跟踪,以查看服务器端发生的情况。 – 2012-08-01 14:53:45