Laden...

.aspx-Seite mit Login wirklich sicher?

Erstellt von Pennypecker vor 16 Jahren Letzter Beitrag vor 16 Jahren 2.314 Views
P
Pennypecker Themenstarter:in
50 Beiträge seit 2007
vor 16 Jahren
.aspx-Seite mit Login wirklich sicher?

Hiho

Ich habe mal eine generelle Frage.
Es geht darum, dass ich eine Seite erstellen möchte, auf der man sich einloggen muss um fortfahren zu können.

Login is klar.
Pw verarbeitung ist auch klar (ob jetzt md5 oder was ist völlig egal)

Mein Problem tritt auf, wenn ich alles richtig eingebe und zur internen seite weitergeleitet werde, denn dort steht der link zur momentanen Seite in der addresszeile.

D.h. wenn ich den link kopiere, komme ich stets wieder zur internen seite, ohne dass ich accname und login eingeben muss.
Ich meine, egal was ich als eindeutigen identifier übergebe um wirklich sicherzustellen, dass nur der user mit dem pw auf die interne seite kommt, so wird der krypto-kram immer wieder in der addresszeile auftauchen und ist somit ersichtlich.

Die Frage ist nun, wie kann ich einen sicheren übergang von login zur internen seite schaffen, und gewährleisten, dass man nicht ohne erfolgreichen login auf die interne seite gelangt ?

Soll für mich nur mal so als generelle Ideen-Sammlung fungieren.

Danke
Gruß
Penny

1.130 Beiträge seit 2005
vor 16 Jahren

Hallo Pennypecker,

wenn du dich einmal autorisiert hast, bekommt die Browser-Instanz ein Session-Cookie zugewiesen. Somit bist du angemeldet bis die Session ausläuft.

Versuch einfach mal den Link über eine neue Instanz zu öffnen. Übrigens öffnest du über Datei -> Neu keine neue Instanz.

4
51 Beiträge seit 2006
vor 16 Jahren

Hi,

Ich weiß zwar nicht wie du das genau machst, aber ich würde eine seite mit nem Login machen, und wenn Login erfolgreich gewesen ist, einfach einen Flag im Session-objekt hinterlegen.

Und dann auf jeder Seite nach dem Flag fragen, sollte dieser nicht vorhanden sein, ein redirect auf die Loginseite. Besser wäre das von Nutzer eigegebene pw in der Session zu speichern und dann jedesmal auf jeder Seite neu abfragen auf richtigkeit.

LG
4.NET

1.457 Beiträge seit 2004
vor 16 Jahren

Hallo,

Die Login Seite ist auf jeden Fall sicher. Die Frage ist nur wie sicher sind die Passwörter.

Wenn ich dich richtig verstanden habe hast du dich eingeloggt und bist dann auf die geschützte Seite weitergeleitet. Du hast dann den Link in der Adresszeile deines Browser kopiert, deinen Browser geschlossen und dann den Link nochmal aufgerufen und bist wieder auf die geschützte Seite gelangt ohne Anmeldung.

Richtig?

Was du hier gesehen hast ist die Möglichkeit zu sagen dass eine Session eine bestimmte Zeit lang aktiv bleibt und erst nach dieser Zeit die Session für diesen Benutzer neu angelegt werden muss.

Diese Zeit kannst du in der web.config einstellen und du solltest dir die Dokumentation über Sicherheit in der Web Anwendung durchlesen, da es hier mehrere Möglichkeiten gibt seine Web Anwendung zu schützen.

@4.NET

Auf gar keinen Fall das Kennwort in der Session oder dergleichen Speichern. Auch ein Flag ist hier nicht nötig. Das Framework bietet zwecks Sicherheit einige Konzepte an und man kann den Principal fragen ob er authentifiziert ist oder nicht. Da gibt es einige Whitepaper dazu (siehe bei www.asp.net oder Microsoft Webcasts).

Also kein Grund so etwas selbst zu basteln.

1.130 Beiträge seit 2005
vor 16 Jahren
P
Pennypecker Themenstarter:in
50 Beiträge seit 2007
vor 16 Jahren

jo vielen dank

der blog eintrag hat mir genau das gegeben, was ich brauchte

danke euch
👍