[ASP] AW: [ASP] AW: [ASP] RE: [ASP] User_id üb
er QueryString - sehr unsicher?
Christoph Schüle
activeserverpages at glengamoi.com
Mon, 6 Dec 2004 12:46:34 +0100
Hi Ben
Bei mir sieht das so aus:
response.cookies("userID") = userID
Und Abfragen funktioniert so:
userID = request.cookies("userID")
Damit kannst Du die userID in jeder Seite abfragen
Und der User sieht nicht über den querystring das
Du seine userID mitnimmst.
Gruss, Christoph
-----Ursprüngliche Nachricht-----
Von: activeserverpages-admin@glengamoi.com
[mailto:activeserverpages-admin@glengamoi.com] Im Auftrag von Benjamin
Wolf
Gesendet: Montag, 6. Dezember 2004 12:30
An: activeserverpages@glengamoi.com
Betreff: [ASP] AW: [ASP] RE: [ASP] User_id über QueryString - sehr
unsicher?
Danke für die Antwort.
Welchen Wert sollte das Session-Cookie denn bekommen ?
-----Ursprüngliche Nachricht-----
Von: activeserverpages-admin@glengamoi.com
[mailto:activeserverpages-admin@glengamoi.com]Im Auftrag von Mayer,
Stefan
Gesendet: Montag, 6. Dezember 2004 12:02
An: activeserverpages@glengamoi.com
Betreff: [ASP] RE: [ASP] User_id über QueryString - sehr unsicher?
Ich würde das mit einem (Session-)Cookie machen. Das ist sicherer und
läßt sich kaum manipulieren. Noch sicherer ist es, wenn Du eine
Datenbanktabelle mit den User-Sessions anlegst und zusätzlich zur
User-ID auch die Session-ID mit üebnrgibst (im
Cookie) und jedes mal prüfst, ob die zwei zusammenpassen.
Stefan.
-----Original Message-----
From: activeserverpages-admin@glengamoi.com
[mailto:activeserverpages-admin@glengamoi.com] On Behalf Of Benjamin
Wolf
Sent: Montag, 06. Dezember 2004 11:52
To: activeserverpages@glengamoi.com
Subject: [ASP] User_id über QueryString - sehr unsicher?
Hi !
ich hab folgende Frage:
Wenn sich ein User bei mir einloggt, wird auf manchen Seiten die User_id
als queryString übergeben. Irgendwie scheint mir das eine ziemlich
unsichere Lösung, da man ja dann durch raten der User_id auf nen andren
Accout kommen könnte. Das gleiche gilt auch für Seiten wo die ID per
Post übergeben wird, gibt ja genügend Tools um auch diese Daten zu
manipulieren. Wie lößt ihr das denn normalerweiße ?? Vielen Dank für
eure Hilfe, greets, ben
_______________________________________________
ActiveServerPages Mailingliste, Postings senden an:
ActiveServerPages@glengamoi.com An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/activeserverpages
_______________________________________________
ActiveServerPages Mailingliste, Postings senden an:
ActiveServerPages@glengamoi.com An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/activeserverpages
_______________________________________________
ActiveServerPages Mailingliste, Postings senden an:
ActiveServerPages@glengamoi.com An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/activeserverpages