Kandu.dk - Sessions


/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

ASP

#	Navn	Point
1	smorch	9259
2	Harlekin	1866
3	molokyle	1040
4	Steffanst..	758
5	gandalf	657
6	smilly	564
7	gibson	560
8	cumano	530
9	MouseKeep..	480
10	Random	410

Sessions
Fra : Anders Hoff

Dato : 13-04-01 19:01

Jeg skal lage et login-system. Jeg har noen spørsmål om sikkerhet.

Kan en bruker på noen måte opprette/forandre sessions?

Hvis jeg har en database med brukernavn/passord, og setter en
session("logon") = "yes" hvis brukernavn/passord stemmer, og så på hver nye
side sjekker om denne session-en er satt til "yes"

eller

må jeg bare lagre brukernavn/passord is sessions, og så sjekke dette fra
databasen på hver nye side?

N/A (13-04-2001)

Kommentar
Fra : N/A

Dato : 13-04-01 22:57

Anders Hoff (13-04-2001)

Kommentar
Fra : Anders Hoff

Dato : 13-04-01 22:57

Men er det en helt sikker måte ?

Jeg leste at noen browsere lagret sessions slik at man kan starte opp igjen
der man var når man avsluttet browseren.

Mila <Mila@image.dk> skrev i
news:O7KB6.37822$o4.2881990@news010.worldonline.dk...
> En bruger kan ikke ændre en sessions variabel.
>
> Anders Hoff <hoff@sensewave.com> skrev i en
> nyhedsmeddelelse:58HB6.8610$NR.656016@news3.oke.nextra.no...
> >
> > Jeg skal lage et login-system. Jeg har noen spørsmål om sikkerhet.
> >
> > Kan en bruker på noen måte opprette/forandre sessions?
> >
> > Hvis jeg har en database med brukernavn/passord, og setter en
> > session("logon") = "yes" hvis brukernavn/passord stemmer, og så på hver
> nye
> > side sjekker om denne session-en er satt til "yes"
> >
> > eller
> >
> > må jeg bare lagre brukernavn/passord is sessions, og så sjekke dette fra
> > databasen på hver nye side?
> >
> >
> >
> >
> >
>
>

James Olsen (14-04-2001)

Kommentar
Fra : James Olsen

Dato : 14-04-01 06:48

"Anders Hoff" <hoff@sensewave.com> wrote in message
news:ZBKB6.8670$NR.658431@news3.oke.nextra.no...
> Men er det en helt sikker måte ?

Der er aldrig noget som er helt sikkert, men det går for at være sikkert.
Sagt på en anden måde det er så sikkert som det bliver med ASP, så du kan
roligt bruge det. Du skal selvfølgelig altid følge godt med i forhold til
diverse security-patches og så videre, hvis sikkerheden er højt vægtet.
Minder lige om at sikkerheden skal afstemmes efter hvor hemmeligt/værdifuldt
det er det du har med at gøre.
>
> Jeg leste at noen browsere lagret sessions slik at man kan starte opp
igjen
> der man var når man avsluttet browseren.

ASP opretholder en session via en cookie i browseren (kan også gøres med
URL-rewrite men det er ikke normen på ASP sites og ganske sikkert heller
ikke det du har læst om). Det du har læst om er at man kan lukke sin browser
og derefter åbne den igen og fortsætte sin session på et site. Og det er
IMHO bestemt ikke meningen, men jeg har efterhånden oplevet det
utalligegange på IE5.0 og derovre. Jeg mindes ikke at have set det i
tidligere versioner eller på NN for den sags skyld - vil meget høre om det
hvis andre har oplevet det på disse browsere. Det må jo derfor betyde at
browseren sender ASP session cookien, som øjensynligt har overlevet
lukningen af browseren.

Hvad kan man så gøre ved det ? Generelt ikke ret meget så vidt jeg kan se.
Dog har du nogle muligheder hvis du har et site med frames, her kunne du jo
have et script på dit frameset eller i en af de sider som sidder fast i en
frame, som ved unload sørgede for at sende et logoff request til din server,
så kan du den vej rundt selv slå sessionen ihjel på serveren. En added bonus
ved det er at du får fjernet sessions hvor brugeren ikke logger af dit site.
Der er bare en rigtigt øv agtig ting ved det som gør at du vil blive logget
af hvis du resizer i en NN browser (versioner mindre end version 6), da den
reloader siden igen ved resize. Du kan selvfølgelig holde øjemed hvilken
browser de køre.

Ok specielt fikst er det ikke men det vil da fungere....

>
>
>
> Mila <Mila@image.dk> skrev i
> news:O7KB6.37822$o4.2881990@news010.worldonline.dk...
> > En bruger kan ikke ændre en sessions variabel.
> >
> > Anders Hoff <hoff@sensewave.com> skrev i en
> > nyhedsmeddelelse:58HB6.8610$NR.656016@news3.oke.nextra.no...
> > >
> > > Jeg skal lage et login-system. Jeg har noen spørsmål om sikkerhet.
> > >
> > > Kan en bruker på noen måte opprette/forandre sessions?
> > >
> > > Hvis jeg har en database med brukernavn/passord, og setter en
> > > session("logon") = "yes" hvis brukernavn/passord stemmer, og så på
hver
> > nye
> > > side sjekker om denne session-en er satt til "yes"
> > >
> > > eller
> > >
> > > må jeg bare lagre brukernavn/passord is sessions, og så sjekke dette
fra
> > > databasen på hver nye side?
> > >
> > >
> > >
> > >
> > >
> >
> >
>
>

Emil Rossing (14-04-2001)

Kommentar
Fra : Emil Rossing

Dato : 14-04-01 11:49

> Dog har du nogle muligheder hvis du har et site med frames, her kunne du
jo
> have et script på dit frameset eller i en af de sider som sidder fast i en
> frame, som ved unload sørgede for at sende et logoff request til din
server,
> så kan du den vej rundt selv slå sessionen ihjel på serveren. En added
bonus
> ved det er at du får fjernet sessions hvor brugeren ikke logger af dit
site.

Ville det så næsten ikke være lettere at sætte sin session timeout meget
lavt, og så lave logoff-koden i global.asa under session OnEnd?

Man kunne også ansætte nogle folk til at ringe til alle IPS'er i DK, og
oversætte de besøgendes IP-adresser til telefonnumre, og så ringe til folk,
og sige at de skal slette deres cookies. ..hmm.. Okay.. jeg må vist heller
gå i seng igen Blink

\Emil
*En skinke går ud til manden med den høje hat*

Emil Rossing (14-04-2001)

Kommentar
Fra : Emil Rossing

Dato : 14-04-01 11:59

> Man kunne også ansætte nogle folk til at ringe til alle IPS'er i DK, og

der skulle naturligvis stå ISP'er

- nu går jeg helt sikkert i seng ;)

James Olsen (14-04-2001)

Kommentar
Fra : James Olsen

Dato : 14-04-01 13:13

"Emil Rossing" <emil@PLEASEDONOTSPAMMErossing.org> wrote in message
news:iXVB6.201$UH.71243@news101.telia.com...
> > Dog har du nogle muligheder hvis du har et site med frames, her kunne du
> jo
> > have et script på dit frameset eller i en af de sider som sidder fast i
en
> > frame, som ved unload sørgede for at sende et logoff request til din
> server,
> > så kan du den vej rundt selv slå sessionen ihjel på serveren. En added
> bonus
> > ved det er at du får fjernet sessions hvor brugeren ikke logger af dit
> site.
>
> Ville det så næsten ikke være lettere at sætte sin session timeout meget
> lavt, og så lave logoff-koden i global.asa under session OnEnd?

Nej det ville det faktisk ikke for det er ikke det som er pointen. Det som
er pointen her er at der er noget som ikke fungere som det er dokumenteret.
ASP cookies skal kun leve over browser-sessionen (intet med ASP session at
gøre men cookie levetid) Det sker ikke i alle tilfælde, det er det som er
problemet og det løser en lav sessiontimeout ikke.

>
> Man kunne også ansætte nogle folk til at ringe til alle IPS'er i DK, og
> oversætte de besøgendes IP-adresser til telefonnumre, og så ringe til
folk,
> og sige at de skal slette deres cookies. ..hmm.. Okay.. jeg må vist heller
> gå i seng igen Blink

Man kunne også ringe til et vist firma og få dem til at få deres browser til
at fungere som de selv prædiker - var nok lettere ;)

>
> \Emil
> *En skinke går ud til manden med den høje hat*
>
>

Søg

Reklame

Statistik

Spørgsmål :	177557
Tips :	31968
Nyheder :	719565
Indlæg :	6408868
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste