/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Sikkerhed og Session Contents
Fra : Henning Sørensen


Dato : 24-06-03 12:49

Hej

Jeg har som så mange andre lavet sider, hvor et loginscript skriver i en
session-variabel og derefter tildeler brugeren rettigheder til at se de
enkelte sider. Det er jo utroligt simpelt at lave, men hvor effektivt er det
?

Jeg har ikke rigtigt set nogle steder, hvor der er generelle advarsler eller
metoder til at omgå en brugervalidering gennem session-variable, men har
omvendt svært ved at tro at det er umuligt.

Er de sikre- eller er det nemt at omgå?

Mvh

Henning




 
 
Ukendt (26-06-2003)
Kommentar
Fra : Ukendt


Dato : 26-06-03 09:58


"Henning Sørensen" <soe@vejle.dk> skrev i en meddelelse
news:3ef83a98$0$32480$edfadb0f@dread16.news.tele.dk...
> Hej
>
> Jeg har som så mange andre lavet sider, hvor et loginscript skriver i en
> session-variabel og derefter tildeler brugeren rettigheder til at se de
> enkelte sider. Det er jo utroligt simpelt at lave, men hvor effektivt er
det
> ?
>
> Jeg har ikke rigtigt set nogle steder, hvor der er generelle advarsler
eller
> metoder til at omgå en brugervalidering gennem session-variable, men har
> omvendt svært ved at tro at det er umuligt.
>
> Er de sikre- eller er det nemt at omgå?

Sessions bliver lavet ved at værdien(session("brugernavn")) bliver gemt på
serveren under en form for index nummer (fx. 123456) det nummer bliver så
også gemt hos clienten som en cookie hvor nummeret står i. så hver gang
serveren skal tjekke hvad der er i session("brugernavn") finder den cookien
hos clienten, tager nummeret og så finder den det brugernavn der hører til.
så man kan altså ikke finde et session("brugernavn") fra en anden comp.

Dette er kun et eks. så jeg ved ikke hvor virkeligheds tro det er.

123456("brugernavn") = "anders"
123456("loggedon") = true
123457("brugernavn") = "kasper"
123457("loggedon") = true

så finder den nummeret 123456 i cookies'en på din comp og så ved den at du
hedder anders og at du er logget på.

Det er også der for at man ikke kan bruge sessions hvis clienten ikke har
slået cookies til.

>
> Mvh
>
> Henning
>
>
>



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408945
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste