[ASP] Re: [ASP] AW: [ASP] RE: [ASP] User_id über QueryStri ng - sehr unsicher?

Marcus Gnaß activeserverpages at glengamoi.com
Mon, 6 Dec 2004 21:35:44 +0100

Previous message: [ASP] AW: [ASP] AW: [ASP] RE: [ASP] User_id üb er QueryString - sehr unsicher?
Next message: [ASP] AW: [ASP] Re: [ASP] AW: [ASP] RE: [ASP] Us er_id über QueryStri ng - sehr unsicher?
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 6 Dec 2004 at 12:29, Benjamin Wolf wrote:

> Danke für die Antwort.
> Welchen Wert sollte das Session-Cookie denn bekommen ?

Du mußt keinen Wert anlegen. Es langt das Einfügen der Zeile
<%@ EnableSessionState = True %>
Damit wird automatisch ein "Soft"-Cookie erzeugt. Dieses Cookie 
bleibt im Speicher des Clients, ohne auf die Platte geschrieben zu 
werden. Jedes Cookie bekommt eine eindeutige Nummer, die du mit 
Session.SessionId abfragen kannst.

Zudem hast du die Möglichkeit die Session wie ein Dictionary zu 
verwenden um benutzerbesogene Daten abzuspeichern.

Allerdings solltest du aus Sicherheitsgründen in deine(r/m) Session(-
Cookie) einen beliebigen (möglichst langen) Wert unter einem 
beliebigen Schlüssel speichern, und auf jeder Seite diesen Wert 
überprüfen, damit nicht jemand eine Session von anderer Stelle 
bezieht und dir vorgaukelt es sei eine von dir erzeugte.

Marcus

Previous message: [ASP] AW: [ASP] AW: [ASP] RE: [ASP] User_id üb er QueryString - sehr unsicher?
Next message: [ASP] AW: [ASP] Re: [ASP] AW: [ASP] RE: [ASP] Us er_id über QueryStri ng - sehr unsicher?
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]