---

På http://hjemmesideskolen.dk/scripts/phpmysql/default.php har jeg et login,
der - troede jeg indtil i går - spærrer for at kunne 'bakke ind' til besøgte
sider efter logout.

Nu viser det sig desværre, at hvis man ser siderne med Opera og
tilsyneladende også visse versioner af IE 6, kan man fra cachen hente de
besøgte sider igen efter logout.

Kan man ikke på nogen måde forhindre dette? Jeg havde forestillet mig noget
i retning af at sætte en expiration på siderne med en gammel dato på. Men
jeg kan ikke i min php-bibel finde noget om det.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://html-faq.dk
http://ginnerskov.frac.dk/

---

On Fri, 29 Apr 2005 17:09:55 +0200, Erik Ginnerskov wrote:

>
> Kan man ikke på nogen måde forhindre dette? Jeg havde forestillet mig
> noget i retning af at sætte en expiration på siderne med en gammel dato
> på. Men jeg kan ikke i min php-bibel finde noget om det.
Se mit svar til nederbassen i forrige tråd.

Det sikreste er dog stadigvæk, hvis du generere en token og medsender som
hidden textfelt i formen, og efterfølgende sammenligner både token og en
sat værdi i session.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Michael Rasmussen wrote:
> On Fri, 29 Apr 2005 17:09:55 +0200, Erik Ginnerskov wrote:
>
>>
>> Kan man ikke på nogen måde forhindre dette? Jeg havde forestillet mig
>> noget i retning af at sætte en expiration på siderne med en gammel
>> dato på. Men jeg kan ikke i min php-bibel finde noget om det.

> Se mit svar til nederbassen i forrige tråd.

Jeg prøvede at indsætte dette i head på den første beskyttede side:

<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="expires" content="mon, 22 jul 2002 11:12:01 gmt">
<meta http-equiv="pragma" content="no-cache">

Det ændrede intet:

http://hjemmesideskolen.dk/scripts/test/default.php

> Det sikreste er dog stadigvæk, hvis du generere en token og medsender
> som hidden textfelt i formen, og efterfølgende sammenligner både
> token og en sat værdi i session.

Den må du lige skære ud i pap. :)

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://html-faq.dk
http://ginnerskov.frac.dk/

---

On Fri, 29 Apr 2005 23:50:21 +0200, Erik Ginnerskov wrote:

>
> Den må du lige skære ud i pap. :)
Når en bruger er valideret, generere du en token.
F.kes. md5(uniqid(rand(), true)). Denne token gemmes i en cookie på
klienten og i sessionen på serveren. Så længe cookie-token og
server-token er identiske, har vi en valid session. Når brugeren logger
ud, slettes token i session og klientens cookie slettes. Herefter vil
postback ikke længere være mulig, da klienten ikke vil være i stand til
at medsende en gyldig token.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Michael Rasmussen wrote:

> Når en bruger er valideret, generere du en token.
> F.kes. md5(uniqid(rand(), true)).

Det prøvede jeg at sætte ind i det script, der tjekker adgangsrettigheder:

<?
[klip login til databasen]
$result = mysql_query("SELECT NULL FROM users WHERE brugernavn =
'".$_POST['brugernavn']."' AND password = '".$_POST['password']."'") or die
(mysql_error());
if ($antal_raekker=mysql_num_rows($result)>0){
$_SESSION['logget_ind']=1;
$_SESSION['brugernavn'] = $brugernavn;
$_SESSION['password'] = $password;
md5(uniqid(rand(), true));
}
else
{
echo <p>Fejl</p>";
}
?>

Men Opera kan stadig 'bakke ind' til besøgte sider efter logout.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://html-faq.dk
http://ginnerskov.frac.dk/

---

On Sun, 01 May 2005 00:16:08 +0200, Erik Ginnerskov wrote:

> md5(uniqid(rand(), true));
Dette skal skrives til en cookie, og sider der skal beskyttes, skal læse
og sammenligne token fra cookie med token fra session
>
> Men Opera kan stadig 'bakke ind' til besøgte sider efter logout.
Du kan eventuelt prøve dette:
<meta http-equiv="Cache-Control" content="private">; Gælder kun for
HTTP/1.1.

Bemærk hvad jeg har skrevet før, at du ikke kan være sikker på,
brugerens browser overholder det, da brugeren/browseren helt selv kan
bestemme dens virkemåde uden indblanding fra andre.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Michael Rasmussen wrote:
> On Sun, 01 May 2005 00:16:08 +0200, Erik Ginnerskov wrote:
>
>
>> md5(uniqid(rand(), true));
>
> Dette skal skrives til en cookie, og sider der skal beskyttes, skal læse
> og sammenligne token fra cookie med token fra session
>
>>Men Opera kan stadig 'bakke ind' til besøgte sider efter logout.
>
> Du kan eventuelt prøve dette:
> <meta http-equiv="Cache-Control" content="private">; Gælder kun for
> HTTP/1.1.
>
> Bemærk hvad jeg har skrevet før, at du ikke kan være sikker på,
> brugerens browser overholder det, da brugeren/browseren helt selv kan
> bestemme dens virkemåde uden indblanding fra andre.

Det er beskrevet i rfc'en
http://www.w3.org/Protocols/rfc2616/rfc2616-sec13.html#sec13.13

Det er slet ikke meningen at de skal overholde det (cache-control) i
forbindelse med historik, fordi historik og caching anses for to
forskellige ting.

Opera gør det rigtige efter hvad der står i rfc'en.

/Bent

---

Michael Rasmussen wrote:

>> md5(uniqid(rand(), true));

> Dette skal skrives til en cookie, og sider der skal beskyttes, skal
> læse og sammenligne token fra cookie med token fra session

Det har jeg forsøgt, men det resulterer bare i, at jeg slet ikke kan logge
ind. Jeg kan sikkert hverken sætte cookien med den nødvendige info eller
siden aflæse cookien.

>> Men Opera kan stadig 'bakke ind' til besøgte sider efter logout.
> Du kan eventuelt prøve dette:
> <meta http-equiv="Cache-Control" content="private">; Gælder kun for
> HTTP/1.1.

Det er Opera også totalt bedøvende ligeglad med. Jeg kan stadig gense
besøgte sider efter logout.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://html-faq.dk
http://ginnerskov.frac.dk/