Willkommen auf myCSharp.de! Anmelden | kostenlos registrieren
 | Suche | FAQ

Hauptmenü
myCSharp.de
» Startseite
» Forum
» Suche
» Regeln
» Wie poste ich richtig?

Mitglieder
» Liste / Suche
» Wer ist online?

Ressourcen
» FAQ
» Artikel
» C#-Snippets
» Jobbörse
» Microsoft Docs

Team
» Kontakt
» Cookies
» Spenden
» Datenschutz
» Impressum

  • »
  • Community
  • |
  • Diskussionsforum
.aspx-Seite mit Login wirklich sicher?
Pennypecker
myCSharp.de - Member



Dabei seit:
Beiträge: 50

Themenstarter:

.aspx-Seite mit Login wirklich sicher?

beantworten | zitieren | melden

Hiho

Ich habe mal eine generelle Frage.
Es geht darum, dass ich eine Seite erstellen möchte, auf der man sich einloggen muss um fortfahren zu können.

Login is klar.
Pw verarbeitung ist auch klar (ob jetzt md5 oder was ist völlig egal)

Mein Problem tritt auf, wenn ich alles richtig eingebe und zur internen seite weitergeleitet werde, denn dort steht der link zur momentanen Seite in der addresszeile.

D.h. wenn ich den link kopiere, komme ich stets wieder zur internen seite, ohne dass ich accname und login eingeben muss.
Ich meine, egal was ich als eindeutigen identifier übergebe um wirklich sicherzustellen, dass nur der user mit dem pw auf die interne seite kommt, so wird der krypto-kram immer wieder in der addresszeile auftauchen und ist somit ersichtlich.

Die Frage ist nun, wie kann ich einen sicheren übergang von login zur internen seite schaffen, und gewährleisten, dass man nicht ohne erfolgreichen login auf die interne seite gelangt ?

Soll für mich nur mal so als generelle Ideen-Sammlung fungieren.

Danke
Gruß
Penny
private Nachricht | Beiträge des Benutzers
.Kai
myCSharp.de - Member

Avatar #avatar-1836.gif


Dabei seit:
Beiträge: 1184

beantworten | zitieren | melden

Hallo Pennypecker,

wenn du dich einmal autorisiert hast, bekommt die Browser-Instanz ein Session-Cookie zugewiesen. Somit bist du angemeldet bis die Session ausläuft.

Versuch einfach mal den Link über eine neue Instanz zu öffnen. Übrigens öffnest du über Datei -> Neu keine neue Instanz.
private Nachricht | Beiträge des Benutzers
4.NET
myCSharp.de - Member



Dabei seit:
Beiträge: 51

beantworten | zitieren | melden

Hi,

Ich weiß zwar nicht wie du das genau machst, aber ich würde eine seite mit nem Login machen, und wenn Login erfolgreich gewesen ist, einfach einen Flag im Session-objekt hinterlegen.

Und dann auf jeder Seite nach dem Flag fragen, sollte dieser nicht vorhanden sein, ein redirect auf die Loginseite. Besser wäre das von Nutzer eigegebene pw in der Session zu speichern und dann jedesmal auf jeder Seite neu abfragen auf richtigkeit.

LG
4.NET
private Nachricht | Beiträge des Benutzers
Timur Zanagar
myCSharp.de - Member

Avatar #avatar-3412.jpg


Dabei seit:
Beiträge: 1559

beantworten | zitieren | melden

Hallo,

Die Login Seite ist auf jeden Fall sicher. Die Frage ist nur wie sicher sind die Passwörter.

Wenn ich dich richtig verstanden habe hast du dich eingeloggt und bist dann auf die geschützte Seite weitergeleitet. Du hast dann den Link in der Adresszeile deines Browser kopiert, deinen Browser geschlossen und dann den Link nochmal aufgerufen und bist wieder auf die geschützte Seite gelangt ohne Anmeldung.

Richtig?

Was du hier gesehen hast ist die Möglichkeit zu sagen dass eine Session eine bestimmte Zeit lang aktiv bleibt und erst nach dieser Zeit die Session für diesen Benutzer neu angelegt werden muss.

Diese Zeit kannst du in der web.config einstellen und du solltest dir die Dokumentation über Sicherheit in der Web Anwendung durchlesen, da es hier mehrere Möglichkeiten gibt seine Web Anwendung zu schützen.

@4.NET

Auf gar keinen Fall das Kennwort in der Session oder dergleichen Speichern. Auch ein Flag ist hier nicht nötig. Das Framework bietet zwecks Sicherheit einige Konzepte an und man kann den Principal fragen ob er authentifiziert ist oder nicht. Da gibt es einige Whitepaper dazu (siehe bei www.asp.net oder Microsoft Webcasts).

Also kein Grund so etwas selbst zu basteln.
private Nachricht | Beiträge des Benutzers
.Kai
myCSharp.de - Member

Avatar #avatar-1836.gif


Dabei seit:
Beiträge: 1184

beantworten | zitieren | melden

Hallo zusammen,

noch was zum Thema:
http://blog.veloursnebel.de/PermaLink,guid,182727cc-5d60-4358-9400-39db0a0554c5.aspx
private Nachricht | Beiträge des Benutzers
Pennypecker
myCSharp.de - Member



Dabei seit:
Beiträge: 50

Themenstarter:

beantworten | zitieren | melden

jo vielen dank

der blog eintrag hat mir genau das gegeben, was ich brauchte

danke euch
private Nachricht | Beiträge des Benutzers