Sikker pålogging i ASP.Net

[Degeim]

Hei

 

Jeg driver og lager en administrasjonsside for en ASP.Net-side jeg har laget. Administrasjonssiden gir tilgang til alle rader i noen tabeller i en database, og lar brukeren få legge til, slette og redigere dem. Det er derfor svært viktig at uvedkommende ikke får tilgang til administrasjonssiden, siden de da vil kunne ødelegge hele nettsiden.

 

Derfor lurer jeg litt på hvordan jeg bør sikre det. Tidligere har jeg hatt to Session-variabler ("username" og "password"). Hvis disse var tomme, viste jeg påloggingsskjemaet, og ved hver Page_Load sjekket jeg dem opp mot en database for å kontrollere at brukeren var pålogget. Jeg har nå fått høre at uvedkommende ikke kan trikse med Session-variablene, så kanskje en enkel Session["loggedin"] vil være nok.

 

Kan noen av-/bekrefte at dette er sikkert nok?

 

 

Takk,

Degeim

[j000rn]

Før i tiden var session variablene litt usikre på grunn av at man kunne gjette seg til hva ID'n i cookien var. Dette på grunn av en dårlig "random"-rutine som genererer session ID'n i cookien.

 

Idag er Session sikkert. (Man kan fortsatt hijacke en session om man har tilgang klientpc'n, men det slipper man ikke unna uansett...)

 

Men... ASP.Net støtter jo litt bedre måter å sikre brukerhåndtering med Windows Forms Authentication. Og det beste av alt er at du slipper å sjekke Session variabelen din på hver side. Les mer her....

Endret 14. mai 2008 av jorn79