---

Hej

Jeg har som så mange andre lavet sider, hvor et loginscript skriver i en
session-variabel og derefter tildeler brugeren rettigheder til at se de
enkelte sider. Det er jo utroligt simpelt at lave, men hvor effektivt er det
?

Jeg har ikke rigtigt set nogle steder, hvor der er generelle advarsler eller
metoder til at omgå en brugervalidering gennem session-variable, men har
omvendt svært ved at tro at det er umuligt.

Er de sikre- eller er det nemt at omgå?

Mvh

Henning

---

"Henning Sørensen" <soe@vejle.dk> skrev i en meddelelse
news:3ef83a98$0$32480$edfadb0f@dread16.news.tele.dk...
> Hej
>
> Jeg har som så mange andre lavet sider, hvor et loginscript skriver i en
> session-variabel og derefter tildeler brugeren rettigheder til at se de
> enkelte sider. Det er jo utroligt simpelt at lave, men hvor effektivt er
det
> ?
>
> Jeg har ikke rigtigt set nogle steder, hvor der er generelle advarsler
eller
> metoder til at omgå en brugervalidering gennem session-variable, men har
> omvendt svært ved at tro at det er umuligt.
>
> Er de sikre- eller er det nemt at omgå?

Sessions bliver lavet ved at værdien(session("brugernavn")) bliver gemt på
serveren under en form for index nummer (fx. 123456) det nummer bliver så
også gemt hos clienten som en cookie hvor nummeret står i. så hver gang
serveren skal tjekke hvad der er i session("brugernavn") finder den cookien
hos clienten, tager nummeret og så finder den det brugernavn der hører til.
så man kan altså ikke finde et session("brugernavn") fra en anden comp.

Dette er kun et eks. så jeg ved ikke hvor virkeligheds tro det er.

123456("brugernavn") = "anders"
123456("loggedon") = true
123457("brugernavn") = "kasper"
123457("loggedon") = true

så finder den nummeret 123456 i cookies'en på din comp og så ved den at du
hedder anders og at du er logget på.

Det er også der for at man ikke kan bruge sessions hvis clienten ikke har
slået cookies til.

>
> Mvh
>
> Henning
>
>
>