en annan fråga om sessionsvariabler som rör säkerhet - som jag förstår det så sparar servern en fil på användarens dator (cookie?) som med ett id-nummer identifierar användaren (syns för mig i asp-gränssnittet som sessionsvariabeln). Är enda sättet att knäcka sig in i en sida skyddad av sessionsvariabeln att hitta den filen på den aktiva användarens dator, se vad den innehåller, spara samma fil på sin egen dator och gå till sajten? eller är säkerheten mer än så, sparar webbservern även info om vilken IP-adress sessionen som har fått just den cookien hade?

Kort och gott - är det ett fullgott skydd att köra med sessionsvariabler, alltså en inloggning som sätter sessionsvariabeln, och sedan i huvudet på varje sida:

IF NOT len(session("user"))>0 THEN response.redirect "http://www.hemekonomi.com/bad.htm" END IF

Eller är det otillräckligt att bara kolla om sessionsvariabeln har en längd, måste jag rota fram posten i databasen varje gång för att kolla så att användaren inte har trickat en sessionsvariabel? Går det? Eller kan sessionsvariablerna endast sättas av mig i ASP-koden?

<b>som jag förstår det så sparar servern en fil på användarens dator (cookie?) som med ett id-nummer identifierar användaren</b>

Japp!

<b>eller är säkerheten mer än så, sparar webbservern även info om vilken IP-adress sessionen som har fått just den cookien hade?</b>

Ja

<b>Kort och gott - är det ett fullgott skydd att köra med sessionsvariabler, alltså en inloggning som sätter sessionsvariabeln, och sedan i huvudet på varje sida:

IF NOT len(session("user"))>0 THEN response.redirect "http://www.hemekonomi.com/bad.htm" END IF</b>

Ja, det kan man nog anse (alla gör så iaf). Men om angriparen kommer över cookien och kan surfa från samma ip-adress kan man kapa sessionen. Men om detta sker har angriparen troligtvis reda full kontroll över besökarens dator.

<b>Eller är det otillräckligt att bara kolla om sessionsvariabeln har en längd, måste jag rota fram posten i databasen varje gång för att kolla så att användaren inte har trickat en sessionsvariabel? Går det? Eller kan sessionsvariablerna endast sättas av mig i ASP-koden?</b>

Variablerna existerar enbart på servern, en besökare kan inte se eller ändra innehållet. Cookien på klienten innehåller bara en identifikation så att servern vet "vem" besökaren är.

/Johan

tack!

Hm.. Skit i vad jag sa :P