/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Sessions
Fra : Anders Hoff


Dato : 13-04-01 19:01


Jeg skal lage et login-system. Jeg har noen spørsmål om sikkerhet.

Kan en bruker på noen måte opprette/forandre sessions?

Hvis jeg har en database med brukernavn/passord, og setter en
session("logon") = "yes" hvis brukernavn/passord stemmer, og så på hver nye
side sjekker om denne session-en er satt til "yes"

eller

må jeg bare lagre brukernavn/passord is sessions, og så sjekke dette fra
databasen på hver nye side?






 
 
N/A (13-04-2001)
Kommentar
Fra : N/A


Dato : 13-04-01 22:57



Anders Hoff (13-04-2001)
Kommentar
Fra : Anders Hoff


Dato : 13-04-01 22:57

Men er det en helt sikker måte ?

Jeg leste at noen browsere lagret sessions slik at man kan starte opp igjen
der man var når man avsluttet browseren.



Mila <Mila@image.dk> skrev i
news:O7KB6.37822$o4.2881990@news010.worldonline.dk...
> En bruger kan ikke ændre en sessions variabel.
>
> Anders Hoff <hoff@sensewave.com> skrev i en
> nyhedsmeddelelse:58HB6.8610$NR.656016@news3.oke.nextra.no...
> >
> > Jeg skal lage et login-system. Jeg har noen spørsmål om sikkerhet.
> >
> > Kan en bruker på noen måte opprette/forandre sessions?
> >
> > Hvis jeg har en database med brukernavn/passord, og setter en
> > session("logon") = "yes" hvis brukernavn/passord stemmer, og så på hver
> nye
> > side sjekker om denne session-en er satt til "yes"
> >
> > eller
> >
> > må jeg bare lagre brukernavn/passord is sessions, og så sjekke dette fra
> > databasen på hver nye side?
> >
> >
> >
> >
> >
>
>



James Olsen (14-04-2001)
Kommentar
Fra : James Olsen


Dato : 14-04-01 06:48


"Anders Hoff" <hoff@sensewave.com> wrote in message
news:ZBKB6.8670$NR.658431@news3.oke.nextra.no...
> Men er det en helt sikker måte ?

Der er aldrig noget som er helt sikkert, men det går for at være sikkert.
Sagt på en anden måde det er så sikkert som det bliver med ASP, så du kan
roligt bruge det. Du skal selvfølgelig altid følge godt med i forhold til
diverse security-patches og så videre, hvis sikkerheden er højt vægtet.
Minder lige om at sikkerheden skal afstemmes efter hvor hemmeligt/værdifuldt
det er det du har med at gøre.
>
> Jeg leste at noen browsere lagret sessions slik at man kan starte opp
igjen
> der man var når man avsluttet browseren.

ASP opretholder en session via en cookie i browseren (kan også gøres med
URL-rewrite men det er ikke normen på ASP sites og ganske sikkert heller
ikke det du har læst om). Det du har læst om er at man kan lukke sin browser
og derefter åbne den igen og fortsætte sin session på et site. Og det er
IMHO bestemt ikke meningen, men jeg har efterhånden oplevet det
utalligegange på IE5.0 og derovre. Jeg mindes ikke at have set det i
tidligere versioner eller på NN for den sags skyld - vil meget høre om det
hvis andre har oplevet det på disse browsere. Det må jo derfor betyde at
browseren sender ASP session cookien, som øjensynligt har overlevet
lukningen af browseren.

Hvad kan man så gøre ved det ? Generelt ikke ret meget så vidt jeg kan se.
Dog har du nogle muligheder hvis du har et site med frames, her kunne du jo
have et script på dit frameset eller i en af de sider som sidder fast i en
frame, som ved unload sørgede for at sende et logoff request til din server,
så kan du den vej rundt selv slå sessionen ihjel på serveren. En added bonus
ved det er at du får fjernet sessions hvor brugeren ikke logger af dit site.
Der er bare en rigtigt øv agtig ting ved det som gør at du vil blive logget
af hvis du resizer i en NN browser (versioner mindre end version 6), da den
reloader siden igen ved resize. Du kan selvfølgelig holde øjemed hvilken
browser de køre.

Ok specielt fikst er det ikke men det vil da fungere....



>
>
>
> Mila <Mila@image.dk> skrev i
> news:O7KB6.37822$o4.2881990@news010.worldonline.dk...
> > En bruger kan ikke ændre en sessions variabel.
> >
> > Anders Hoff <hoff@sensewave.com> skrev i en
> > nyhedsmeddelelse:58HB6.8610$NR.656016@news3.oke.nextra.no...
> > >
> > > Jeg skal lage et login-system. Jeg har noen spørsmål om sikkerhet.
> > >
> > > Kan en bruker på noen måte opprette/forandre sessions?
> > >
> > > Hvis jeg har en database med brukernavn/passord, og setter en
> > > session("logon") = "yes" hvis brukernavn/passord stemmer, og så på
hver
> > nye
> > > side sjekker om denne session-en er satt til "yes"
> > >
> > > eller
> > >
> > > må jeg bare lagre brukernavn/passord is sessions, og så sjekke dette
fra
> > > databasen på hver nye side?
> > >
> > >
> > >
> > >
> > >
> >
> >
>
>



Emil Rossing (14-04-2001)
Kommentar
Fra : Emil Rossing


Dato : 14-04-01 11:49

> Dog har du nogle muligheder hvis du har et site med frames, her kunne du
jo
> have et script på dit frameset eller i en af de sider som sidder fast i en
> frame, som ved unload sørgede for at sende et logoff request til din
server,
> så kan du den vej rundt selv slå sessionen ihjel på serveren. En added
bonus
> ved det er at du får fjernet sessions hvor brugeren ikke logger af dit
site.

Ville det så næsten ikke være lettere at sætte sin session timeout meget
lavt, og så lave logoff-koden i global.asa under session OnEnd?

Man kunne også ansætte nogle folk til at ringe til alle IPS'er i DK, og
oversætte de besøgendes IP-adresser til telefonnumre, og så ringe til folk,
og sige at de skal slette deres cookies. ..hmm.. Okay.. jeg må vist heller
gå i seng igen

\Emil
*En skinke går ud til manden med den høje hat*



Emil Rossing (14-04-2001)
Kommentar
Fra : Emil Rossing


Dato : 14-04-01 11:59

> Man kunne også ansætte nogle folk til at ringe til alle IPS'er i DK, og

der skulle naturligvis stå ISP'er

- nu går jeg helt sikkert i seng ;)



James Olsen (14-04-2001)
Kommentar
Fra : James Olsen


Dato : 14-04-01 13:13


"Emil Rossing" <emil@PLEASEDONOTSPAMMErossing.org> wrote in message
news:iXVB6.201$UH.71243@news101.telia.com...
> > Dog har du nogle muligheder hvis du har et site med frames, her kunne du
> jo
> > have et script på dit frameset eller i en af de sider som sidder fast i
en
> > frame, som ved unload sørgede for at sende et logoff request til din
> server,
> > så kan du den vej rundt selv slå sessionen ihjel på serveren. En added
> bonus
> > ved det er at du får fjernet sessions hvor brugeren ikke logger af dit
> site.
>
> Ville det så næsten ikke være lettere at sætte sin session timeout meget
> lavt, og så lave logoff-koden i global.asa under session OnEnd?

Nej det ville det faktisk ikke for det er ikke det som er pointen. Det som
er pointen her er at der er noget som ikke fungere som det er dokumenteret.
ASP cookies skal kun leve over browser-sessionen (intet med ASP session at
gøre men cookie levetid) Det sker ikke i alle tilfælde, det er det som er
problemet og det løser en lav sessiontimeout ikke.

>
> Man kunne også ansætte nogle folk til at ringe til alle IPS'er i DK, og
> oversætte de besøgendes IP-adresser til telefonnumre, og så ringe til
folk,
> og sige at de skal slette deres cookies. ..hmm.. Okay.. jeg må vist heller
> gå i seng igen

Man kunne også ringe til et vist firma og få dem til at få deres browser til
at fungere som de selv prædiker - var nok lettere ;)

>
> \Emil
> *En skinke går ud til manden med den høje hat*
>
>



Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408876
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste