/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Er sessions sikre ?
Fra : Janus Klok Lauritsen


Dato : 09-04-02 10:56

Altså kan man baserer et site hvor der skal logges ind på sessions ?
Kan en anden bruger "stjæle" en session ? læse en session osv. ?
Jeg ved godt at man skal passe meget på med "cross site scripting", men hvis
det nu er ok, er det så sikkert ?
Hvad bruger man ellers ?
Mvh
Janus



 
 
Jakob Andersen (09-04-2002)
Kommentar
Fra : Jakob Andersen


Dato : 09-04-02 11:19

"Janus Klok Lauritsen" <janus@mcb.dk> skrev i en meddelelse
news:a8udkb$knu$1@sunsite.dk...
> Altså kan man baserer et site hvor der skal logges ind på sessions ?
> Kan en anden bruger "stjæle" en session ? læse en session osv. ?

Sessions er sikre nok, dataene er altid opbevaret på serveren og brugeren
har blot et Session ID i en cookie.
Der skal en pænt stor indsats til for at læse andres sessions, hvis man da
ikke sidder på samme maskine.

> Jeg ved godt at man skal passe meget på med "cross site scripting", men
hvis
> det nu er ok, er det så sikkert ?

Definer hvad du mener med cross site scripting.

> Hvad bruger man ellers ?

<http://www.asp101.com/articles/flicks/authtutorial.asp>

Eller kig på .NET med PASSPORT authentication:

<http://www.4guysfromrolla.com/webtech/110701-1.shtml>

--
Jakob Andersen



Janus Klok Lauritsen (09-04-2002)
Kommentar
Fra : Janus Klok Lauritsen


Dato : 09-04-02 20:11

Hej Jakob
Tak for dit svar.
Cross site scripting er problemer med at "validerer" det input brugerne kan
få skrevet på en side, f.eks. kunne det være et web mail system der istedet
for at vise f.eks. javascript som skrift, udførte dette på modtagerens
computer. På denne måde kan man stjæle cookies osv. fra en bruger.
Cert har lavet et (af flere) advarsler omkring netop dette, og det er nok et
af de mest anvendte "mini hacks" der bliver udført på websites idag.
Her er et link der fortæller lidt mere:
http://www.cert.org/advisories/CA-2000-02.html
Mvh
Janus
"Jakob Andersen" <jakob@effectus.dk> wrote in message
news:a8uf66$r9h$1@sunsite.dk...
<snip>
> Definer hvad du mener med cross site scripting.



Jakob Andersen (09-04-2002)
Kommentar
Fra : Jakob Andersen


Dato : 09-04-02 20:33

"Janus Klok Lauritsen" <janus@mcb.dk> wrote in message
news:3cb33d55$0$5263$edfadb0f@dspool01.news.tele.dk...
> Cross site scripting er problemer med at "validerer" det input brugerne
kan
> få skrevet på en side

Okay, jeg kender blot ikke fænomenet under dette navn.

> for at vise f.eks. javascript som skrift, udførte dette på modtagerens
> computer. På denne måde kan man stjæle cookies osv. fra en bruger.

Du stjæler vel blot informationerne og ikke retten til at bruge "kagen".

> Cert har lavet et (af flere) advarsler omkring netop dette, og det er nok
et
> af de mest anvendte "mini hacks" der bliver udført på websites idag.

Vi kender jo nok alle klassikeren fra loginsystemer: ' or '1' = '1

--
Jakob Andersen



Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408857
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste