/
Forside
/
Teknologi
/
Udvikling
/
ASP
/
Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn
*
Kodeord
*
Husk mig
Brugerservice
Kom godt i gang
Bliv medlem
Seneste indlæg
Find en bruger
Stil et spørgsmål
Skriv et tip
Fortæl en ven
Pointsystemet
Kontakt Kandu.dk
Emnevisning
Kategorier
Alfabetisk
Karriere
Interesser
Teknologi
Reklame
Top 10 brugere
ASP
#
Navn
Point
1
smorch
9259
2
Harlekin
1866
3
molokyle
1040
4
Steffanst..
758
5
gandalf
657
6
smilly
564
7
gibson
560
8
cumano
530
9
MouseKeep..
480
10
Random
410
Sikkerhed og Session Contents
Fra :
Henning Sørensen
Dato :
24-06-03 12:49
Hej
Jeg har som så mange andre lavet sider, hvor et loginscript skriver i en
session-variabel og derefter tildeler brugeren rettigheder til at se de
enkelte sider. Det er jo utroligt simpelt at lave, men hvor effektivt er det
?
Jeg har ikke rigtigt set nogle steder, hvor der er generelle advarsler eller
metoder til at omgå en brugervalidering gennem session-variable, men har
omvendt svært ved at tro at det er umuligt.
Er de sikre- eller er det nemt at omgå?
Mvh
Henning
Ukendt (
26-06-2003
)
Kommentar
Fra :
Ukendt
Dato :
26-06-03 09:58
"Henning Sørensen" <soe@vejle.dk> skrev i en meddelelse
news:3ef83a98$0$32480$edfadb0f@dread16.news.tele.dk...
> Hej
>
> Jeg har som så mange andre lavet sider, hvor et loginscript skriver i en
> session-variabel og derefter tildeler brugeren rettigheder til at se de
> enkelte sider. Det er jo utroligt simpelt at lave, men hvor effektivt er
det
> ?
>
> Jeg har ikke rigtigt set nogle steder, hvor der er generelle advarsler
eller
> metoder til at omgå en brugervalidering gennem session-variable, men har
> omvendt svært ved at tro at det er umuligt.
>
> Er de sikre- eller er det nemt at omgå?
Sessions bliver lavet ved at værdien(session("brugernavn")) bliver gemt på
serveren under en form for index nummer (fx. 123456) det nummer bliver så
også gemt hos clienten som en cookie hvor nummeret står i. så hver gang
serveren skal tjekke hvad der er i session("brugernavn") finder den cookien
hos clienten, tager nummeret og så finder den det brugernavn der hører til.
så man kan altså ikke finde et session("brugernavn") fra en anden comp.
Dette er kun et eks. så jeg ved ikke hvor virkeligheds tro det er.
123456("brugernavn") = "anders"
123456("loggedon") = true
123457("brugernavn") = "kasper"
123457("loggedon") = true
så finder den nummeret 123456 i cookies'en på din comp og så ved den at du
hedder anders og at du er logget på.
Det er også der for at man ikke kan bruge sessions hvis clienten ikke har
slået cookies til.
>
> Mvh
>
> Henning
>
>
>
Søg
Alle emner
Teknologi
Udvikling
ASP
Indstillinger
Spørgsmål
Tips
Usenet
Reklame
Statistik
Spørgsmål :
177560
Tips :
31968
Nyheder :
719565
Indlæg :
6408945
Brugere :
218888
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.