---

Hej NG

Hvordan kan jeg undgå at brugeren ved at trykke på tilbage i browseren
kan komme tilbage og se siden før?

Jeg prøvet at gøre som beskrevet i denne artikel, men uden held:
http://www.asp-faq.dk/article/?id=70

Er der nogle kloge hoveder der har et forslag?

På Forhånd Tak!

--
MooreHojer

---

MooreHojer proclaimed as follows:
> Hej NG
>
> Hvordan kan jeg undgå at brugeren ved at trykke på tilbage i browseren
> kan komme tilbage og se siden før?
>
> Jeg prøvet at gøre som beskrevet i denne artikel, men uden held:
> http://www.asp-faq.dk/article/?id=70
>
> Er der nogle kloge hoveder der har et forslag?

Du kan f.eks. slå caching af siden fra. Brugeren kan stadig bruge
tilbage-knappen for at komme tilbage til siden, men får besked "Page
expired" og bliver tvunget til at re-loade siden for at kunne se den.
Det kan f.eks. hjælpe med at forhindre, at en bruger, der er logget ud
af systemet, kan komme tilbage og se en side i det beskyttede område.

Prøv med:

<%
Response.Expires = 60
Response.Expiresabsolute = Now() - 1
Response.AddHeader "pragma","no-cache"
Response.AddHeader "cache-control","private"
Response.CacheControl = "no-cache"
%>

t

--
Aequitas sequitur funera

---

> <%
> Response.Expires = 60
> Response.Expiresabsolute = Now() - 1
> Response.AddHeader "pragma","no-cache"
> Response.AddHeader "cache-control","private"
> Response.CacheControl = "no-cache"
> %>

hvor skal det stå? Før <html>, før <head> eller mellem <head> og
</head>?

--
MooreHojer

---

MooreHojer wrote:
>> <%
>> Response.Expires = 60
>> Response.Expiresabsolute = Now() - 1
>> Response.AddHeader "pragma","no-cache"
>> Response.AddHeader "cache-control","private"
>> Response.CacheControl = "no-cache"
>> %>
>
> hvor skal det stå? Før <html>, før <head> eller mellem <head> og
> </head>?

Skal stå før DocumentTypeDefinition, men det fungerer ikke i Opera.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://ginnerskov.dk
http://html-faq.dk/

---

In news:<42e80f4b$0$18644$14726298@news.sunsite.dk>
Erik Ginnerskov typed:
> MooreHojer wrote:
>>> <%
>>> Response.Expires = 60
>>> Response.Expiresabsolute = Now() - 1
>>> Response.AddHeader "pragma","no-cache"
>>> Response.AddHeader "cache-control","private"
>>> Response.CacheControl = "no-cache"
>>> %>
>>
>> hvor skal det stå? Før <html>, før <head> eller mellem <head> og
>> </head>?
>
> Skal stå før DocumentTypeDefinition, men det fungerer ikke i Opera.

Og så skal man ikke pille ved brugerens tilbage knap med mindre man vil
have bøllebank, med en lunken spegesild ;-(

Med venlig hilsen
Johnny Winther Ronnenberg

--
Internettet er for alle!
http://80.62.61.212/webuseability/index.asp

---

Johnny Winther Ronnenberg wrote:

> Og så skal man ikke pille ved brugerens tilbage knap med mindre man
> vil have bøllebank, med en lunken spegesild ;-(

Hvis det sker i forbindelse med noget login (det står der godt nok ikke
noget om i spørgsmålet), er det vel rimelige at prøve at hindre utilsigtet
reload fra cache af beskyttede sider efter logout.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://ginnerskov.dk
http://html-faq.dk/

---

In news:<42e817d3$0$18645$14726298@news.sunsite.dk>
Erik Ginnerskov typed:
> Johnny Winther Ronnenberg wrote:
>
>> Og så skal man ikke pille ved brugerens tilbage knap med mindre man
>> vil have bøllebank, med en lunken spegesild ;-(
>
> Hvis det sker i forbindelse med noget login (det står der godt nok
> ikke noget om i spørgsmålet), er det vel rimelige at prøve at hindre
> utilsigtet reload fra cache af beskyttede sider efter logout.

Jeg kan kun se berettigelsen et sted, nemlig hvor man laver en økonomisk
transakrion, f.eks ved betaling med dankort og der vil det være både
betænkeligt og risikofyldt, at brugeren kan gå tilbage med mindre
transaktionen først afsluttes på næstfølgende side med brugerens
godkendelse.

Efter min mening skal brugeren til enhver tid have retten til at
fortryde et valg, ellers skal der være en forbandet god grund til det.

En login der fejler, bør sende en tilbage til login og ikke udelukke en
fra at gå tilbage. Der er minimale sikkerheds problemer i, at lade
brugeren forsøge at ændre sit pasword igen og de kan løses med en
sessionsvariabel der tæller antallet af forsøg og til sidst sendes
vedkommende af helvede til.

Alle sider der befinder sig i et beskyttet område skal checke, om der er
et gyldigt login ellers er login værdiløst. Google er ligeglad, er der
et link finder den siden og hvis siden ikke beskytter sig selv og sine
søskende er der ingen grund til at forlange login.

Mange intranet er pivåbne, fordi man fejlagtig antager at blot
indgangsiden er beskyttet, så er alle sider det.

Jeg har mødt en, der fik jordens største skideballe fordi han troede, at
ingen kunne komme ind på direktionens lukkede del af intranettet,
desværre var der et medlem af direktionen, der sendte et link til en
menig medarbejder, der udnyttede lejligheden til at kigge sig omkring og
som kom til at sladre til kollegerne. Siden var ikke beskyttet og man
kunne derfor navigere frit i den lukkede del af intranettet, når man var
forbi startsiden

Man kan også spørge sig selv, hvorfor er det så vigtigt at folk ikke kan
se ens sider? Og hvad sker der hvis der er blot en lille fejl
loginscriptet?

Med venlig hilsen
Johnny Winther Ronnenberg
--
Internettet er for alle!
http://80.62.61.212/webuseability/index.asp

---

Johnny Winther Ronnenberg wrote:

> Jeg kan kun se berettigelsen et sted, nemlig hvor man laver en
> økonomisk transakrion, f.eks ved betaling med dankort og der vil det
> være både betænkeligt og risikofyldt, at brugeren kan gå tilbage med
> mindre transaktionen først afsluttes på næstfølgende side med
> brugerens godkendelse.

Det må være op til den enkelte site-ejer at vurdere hvorvidt visse sider
skal passwordbeskyttes eller ej.

> En login der fejler, bør sende en tilbage til login og ikke udelukke
> en fra at gå tilbage.

Der er jo ikke tale om et login, der fejler, men en vellykket session, der
på brugerens foranledning er blevet bragt til afslutning.

> Alle sider der befinder sig i et beskyttet område skal checke, om der
> er et gyldigt login ellers er login værdiløst.

Naturligvis skal alle beskyttede sider lave deres egen passwordkontrol. Men
prøv, om du kan komme ind på nogen af disse sider uden at logge ind først:

http://hjemmesideskolen.dk/scripts/asppass/bru.asp
http://hjemmesideskolen.dk/scripts/asppass/ind.asp
http://hjemmesideskolen.dk/scripts/asppass/noreverse.asp

Indgangen ligger her:

http://hjemmesideskolen.dk/scripts/asppass/default.asp

Efter logout (nederste menupunkt efter login) kan du hverken med IE eller FF
'bakke' ind igen - men det kan du, hvis du bruger Opera. Det var det, jeg
gjorde opmærksom på.

> Mange intranet er pivåbne, fordi man fejlagtig antager at blot
> indgangsiden er beskyttet, så er alle sider det.

Den fejlopfattelse lider jeg ikke af. ;)

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://ginnerskov.dk
http://html-faq.dk/

---

>>> <%
>>> Response.Expires = 60
>>> Response.Expiresabsolute = Now() - 1
>>> Response.AddHeader "pragma","no-cache"
>>> Response.AddHeader "cache-control","private"
>>> Response.CacheControl = "no-cache"
>>> %>
>>
>> hvor skal det stå? Før <html>, før <head> eller mellem <head> og
>> </head>?
>
> Skal stå før DocumentTypeDefinition, men det fungerer ikke i Opera.

Jeg kan heller ikke få det til at fungerer i FF...

Har indsat det sådant her:

<%
Response.Expires = 60
Response.Expiresabsolute = Now() - 1
Response.AddHeader "pragma","no-cache"
Response.AddHeader "cache-control","private"
Response.CacheControl = "no-cache"
%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"
"http://www.w3.org/TR/REC-html40/loose.dtd">

<html>

<head>



--
MooreHojer

---

MooreHojer wrote:

> Har indsat det sådant her:
>
> <%
> Response.Expires = 60
> Response.Expiresabsolute = Now() - 1
> Response.AddHeader "pragma","no-cache"
> Response.AddHeader "cache-control","private"
> Response.CacheControl = "no-cache"
> %>
>
> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"
> "http://www.w3.org/TR/REC-html40/loose.dtd">

Hvor er testen for lovligt login? Den skal indsættes mellem den første
kodeblok og <!Doctype....

http://hjemmesideskolen.dk/scripts/asppass/default.asp

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://ginnerskov.dk
http://html-faq.dk/

---

> http://hjemmesideskolen.dk/scripts/asppass/default.asp

Jeg stjal denne stump kode:

Response.ExpiresAbsolute = #1980-01-01#
Response.AddHeader "pragma", "no-cache"
Response.AddHeader "cache-control", "no-cache"
Response.AddHeader "cache-control", "no-store"
Response.CacheControl = "Private"

og brugte den i stedet for den der er givet her i tråden og nu virker
det efter hensigten
Hjemmesideskolen.dk længe leve! Hurra, hurra, hurra og så det lange
huuuuuuuuurraaaaaaaaaaaaaaa

--
MooreHojer