در مورد امنيت url چه نكاتي را بايد رعايت كنيم؟؟؟

[SAMARE]

سلام دوستان
من يه مشكل دارم اونم اينه نميدونم بايد براي امنيت url‌چه كارايي انجام بدم ؟؟؟
از جمله مواردي كه ميخوام رعايت بشه اينه كه اگه كاربر در سايت on بود و يك كپي از url صفحه ي جاري گرفت و در نوار آدرس مرورگر ديگه قرار داد كاربر ديگه on نباشه
در واقع نميخوام هر صفحه ي سايت با url جداگانه اجرا بشه!!!

ممنونم اگه راهنمايي كنيد...

[SAMARE]

به نظرتون اگه از urlRewriting‌استفاده كنم مشكلم حل ميشه؟؟؟

[Peyman.Gh]

از Server.Transfer میشه استفاده کرد !

[SAMARE]

از Server.Transfer میشه استفاده کرد !

ممنون ميشم بيشتر توضيح بديد!!!

[Peyman.Gh]

شما برای رفتن به یک صفحه وقتی از ("Response.Redirect("Test.Aspx در آدرس بار مرورگر درج میشود که به کدام صفحه رفته اید اما وقتی از ("Server.Transfer("Test.Aspx استفاده میکنید آدرس صفحه مورد نظر نشان داده نمیشود البته این یک کار ساده میباشد ممکن است کارامد هم نباشد اما معمولاً اگر بخواهید QueryString یا رشته های تقاضای شما نشان داده نشوند میتونید از این مورد استفاده کنید!

[SAMARE]

دوست عزيز فكر كنم منظور من رو درست متوجه نشده ايد
يه مثال ميزنم
در همين سايت برنامه نويس وقتي شما on هستيد يك كپي از url صفحه اي كه در اون هستيد بگيريد و در نوار آدرس مرورگر ديگر paste‌ كنيد چه اتفاقي ميفته؟؟؟
اگه دقت كنيد شما ديگه on‌ نيستيد و از سايت خارج شده ايد
منم ميخوام سايتم همچين خاصيتي داشته باشه يعني با كپي كردن از url و paste كردن در مرورگر ديگه كاربر خودبخود از سايت sign out‌بشه!!!‌

[اوبالیت به بو]

شما برای رفتن به یک صفحه وقتی از ("Response.Redirect("Test.Aspx در آدرس بار مرورگر درج میشود که به کدام صفحه رفته اید اما وقتی از ("Server.Transfer("Test.Aspx استفاده میکنید آدرس صفحه مورد نظر نشان داده نمیشود البته این یک کار ساده میباشد ممکن است کارامد هم نباشد اما معمولاً اگر بخواهید QueryString یا رشته های تقاضای شما نشان داده نشوند میتونید از این مورد استفاده کنید!

من متوجه نشدم. یکم بیشتر یا واضح تر برام توضیح می دی دوست من؟

[Peyman.Gh]

کجا رو متوجه نشدی ؟!
اینه که با Server.Transfer به رشته تقاضا دسترسی نداری ؟!

[hamid_200611]

دوست عزيز فكر كنم منظور من رو درست متوجه نشده ايد
يه مثال ميزنم
در همين سايت برنامه نويس وقتي شما on هستيد يك كپي از url صفحه اي كه در اون هستيد بگيريد و در نوار آدرس مرورگر ديگر paste‌ كنيد چه اتفاقي ميفته؟؟؟
اگه دقت كنيد شما ديگه on‌ نيستيد و از سايت خارج شده ايد
منم ميخوام سايتم همچين خاصيتي داشته باشه يعني با كپي كردن از url و paste كردن در مرورگر ديگه كاربر خودبخود از سايت sign out‌بشه!!!‌

در حالت عادی به همین صورت است اگر از دو نوع مختلف مرورگر استفاده کنی

[SAMARE]

در حالت عادی به همین صورت است اگر از دو نوع مختلف مرورگر استفاده کنی

اينو ميدونم
اگه يه نوع مرورگر باشه اونوقت بايد چيكار كنم؟؟؟

[naeeme]

دوست عزيز فكر كنم منظور من رو درست متوجه نشده ايد
يه مثال ميزنم
در همين سايت برنامه نويس وقتي شما on هستيد يك كپي از url صفحه اي كه در اون هستيد بگيريد و در نوار آدرس مرورگر ديگر paste‌ كنيد چه اتفاقي ميفته؟؟؟
اگه دقت كنيد شما ديگه on‌ نيستيد و از سايت خارج شده ايد
منم ميخوام سايتم همچين خاصيتي داشته باشه يعني با كپي كردن از url و paste كردن در مرورگر ديگه كاربر خودبخود از سايت sign out‌بشه!!!‌

دلیل این اتفاق مشخص هست، این سایت از کوکی استفاده می کنه، اگر شما در یک نوع مرورگر دیگه آدرس رو کپی کنید، چون کوکی وجود نداره، شما login محسوب نمیشید. در این حالت کار خاصی انجام نشده و این از ماهیت وب ناشی میشه.

برای یک نوع مرورگر هم شما باید دلیل مهمی داشته باشید که نخواید کاربر شما با کپی کردن آدرس به صفحه دسترسی پیدا نکنه.
اما می تونید از session، transfer و بررسی referrer به مقصود خودتون برسید اما من به عنوان کاربر اصلا برام خوشایند نیست که این امکان رو از من بگیرند!!

[SAMARE]

ميشه واضح تر توضيح بديد!!!
از Server.Transfer نميتونم استفاده كنم چرا كه با كليك بر روي تگ a كه در هر سطر گريد ويو قرار گرفته با گرفتن آي دي هر سطر به يك صفحه popup‌ميرم و مشخصات مربوط به هر كاربر رو در اون صفحه نشون ميدم

اگر راههاي ديگه مانند استفاده از session‌ رو توضيح بديد ممنون ميشم

------------------------------------------------
در سايت من بايد اين امكان از كاربر گرفته بشه!!!

[elmira_63]

شما برای رفتن به یک صفحه وقتی از ("Response.Redirect("Test.Aspx در آدرس بار مرورگر درج میشود که به کدام صفحه رفته اید اما وقتی از ("Server.Transfer("Test.Aspx استفاده میکنید آدرس صفحه مورد نظر نشان داده نمیشود البته این یک کار ساده میباشد ممکن است کارامد هم نباشد اما معمولاً اگر بخواهید QueryString یا رشته های تقاضای شما نشان داده نشوند میتونید از این مورد استفاده کنید!

سلام
من از این روش برای آدرس دهی استفاده کردم ولی هم آدرس صفحه مورد نظر هم رشته تقاضا توی آدرس بار نشون داده شد البته توی سیستم خودم امتحان کردم نه روی هاست

[naeeme]

ميشه واضح تر توضيح بديد!!!
از Server.Transfer نميتونم استفاده كنم چرا كه با كليك بر روي تگ a كه در هر سطر گريد ويو قرار گرفته با گرفتن آي دي هر سطر به يك صفحه popup‌ميرم و مشخصات مربوط به هر كاربر رو در اون صفحه نشون ميدم

خوب! اینجا دیگه باید تگ‌های html رو کنار بگذارید و به سراغ کنترل‌های asp برید!! به جای <a> می تونید از linkButton استفاده کنید که ظاهری شبیه لینک داشته باشه و توانایی‌های سروری!!
برای استفاده از session، کافیه شما یه متغییر session داشته باشید که در اون نام صفحه مبدا یا کد یا هر چیزی که مشخص کننده صفحه مبدا هست رو نگهداری کنید. در صفحه مقصد هم ابتدا این session رو چک کنید که بصورت صحیح مقدار دهی شده باشه، اگر مقدار دهی اون غلط بود، می تونید نتیجه بگیرید که کاربر از طریقی غیر از طریق استاندارد وارد صفحه شده و جلوش رو بگیرید. referrer هم لینک صفحه مرجع رو برمی گردونه اما زیاد قابل اعتماد نیست.
شما این ایده رو با خیلی روشهای دیگه می تونید پیدا سازی کنید حتی اگر فقط می خواید یک صفحه ویرایش مشخصات ایجاد کنید، می تونید از ajax استفاده کنید که دیگه این دردسرها رو هم نداشته باشید( قطع دسترسی کاربر به بقیه مرورگر تا زمانی که از ویرایش یا مشاهده انصراف نداده، مثل حالتی که در همین سایت برای نمایش تصاویر ضمیمه استفاده میشه)

سلام
من از این روش برای آدرس دهی استفاده کردم ولی هم آدرس صفحه مورد نظر هم رشته تقاضا توی آدرس بار نشون داده شد البته توی سیستم خودم امتحان کردم نه روی هاست

دستور Transfer آدرس صفحه جاری رو نشون میده اما محتوای صفحه دیگه ای رو نمایش میده. البته برای استفاده از این دستور ریزه کاری هایی وجود داره که توی msdn می تونید اونها رو پیدا کنید

[goldax]

دوست عزیز راجع به session توی سایت جستجو کنی کلی مطلب گیرت میاد.بدون session نمی تونی امنیت داشته باشی و این جور هم که من فهمیدم مشکلت همینه که از session استفاده نکردی و سایتی که درست کردی هیچ امنیتی نداره و مثلا کاربر بدون نیاز به لاگین ، فقط با داشتن آدرس دیگر صفحات میتونه وارد بشه که این یک اشکال بزرگ هست که به راحتی می تونی توسط session اون رو بر طرف کنی.

تاپیک های زیادی در سایت راجع به session وجود داره :
http://www.barnamenevis.org/sh...ad.php?t=78283
http://www.barnamenevis.org/sh...d.php?p=374931
______________________________
با جستجو مشکلات حل میشه

[reza.ziyaee]

سلام
بر اساس چیز هایی که من از سوال شما فهمیدم چند راهکار می دهم .
1- اگر می خواهید وقتی کاربر مرورگر را بست و مجددا url را paste کرد دیگر on نباشد باید از session استفاده کنی
2- اگر می خواهی وقتی کاربر در یک مرورگر دیگر آدرس راpaste کرد و on نباشد در حالی که روی مرورگر جاری همواره On باشد باید از cookie استفاده کنید
3- اگر می خواهی url دیده نشود از Transfer باید استفاده کنی و کمی حرفه ایی تر از UrlReriwte استفاده کنی
4- اگر باید شخص این url را از یک صفحه ی خاص باز کرده باشد می توانی از Urlreference استفاده کنی.

[skflower]

دوست عزیز فکر میکنم من منظور شما رو فهمیدم. اگه درست متوجه شده باشم شما و دوستان دارید راه رو اشتباه میرید.
در این وبسایت و یا بطور کلی در همه وبسایتها و سیتم های مدیریت محتوا، به محض ورود به صفحه و در رویداد Page_Load چک میشه که آیا کاربر آنلاین هست یا نه. اگه آنلاین بود که هیچچی. در غیر اینصورت بلافاصله و بدون اینکه خودش متوجه بشه به صفحه ی دیگه مثل صفحه اصلی سایت منتقل میشه. اینطوری آدرسهای URL شما بصورت پویا درمیان و یک آدرس همواره کاربر رو به صفحه ای خاص نمیبره.

[SAMARE]

سلام
بر اساس چیز هایی که من از سوال شما فهمیدم چند راهکار می دهم .
1- اگر می خواهید وقتی کاربر مرورگر را بست و مجددا url را paste کرد دیگر on نباشد باید از session استفاده کنی
2- اگر می خواهی وقتی کاربر در یک مرورگر دیگر آدرس راpaste کرد و on نباشد در حالی که روی مرورگر جاری همواره On باشد باید از cookie استفاده کنید
3- اگر می خواهی url دیده نشود از Transfer باید استفاده کنی و کمی حرفه ایی تر از UrlReriwte استفاده کنی
4- اگر باید شخص این url را از یک صفحه ی خاص باز کرده باشد می توانی از Urlreference استفاده کنی.

دوست عزيز ممنون ميشم روش كار رو براي هر قسمت توضيح بديد
همه ميگن از چي استفاده كن و نميگن چجوري!!!
مثلا من اگه با كليك بر روي يك دكمه وارد صفحه اي خاص ميشم آيا اونجا بايد session رو پر كنم و بعد در page‌ بعدي مقدار session‌ رو چك كنم؟؟؟
آيا بايد مقدار خاصي رو در session قرار بدم؟؟؟

[elmira_63]

اگه درست منظورت رو متوجه شده باشم شما باید از اون صفحه ای که میخوای منتقل بشی به یه صفحه دیگه باید session ات رو پر کنی مثلا با زدن یک دکمه پس از چک کردن کار بر این کار رو انجام میدی :

Session["id"] = Session.SessionID;

Session.Timeout = 30;

Response.Redirect

("aspx.صفحه بعدی");

بعد تو formload صفحه بعدی که منتقل می شی این کد رو مینویسی:

if (Session.SessionID != Session["id"].ToString())

{

Response.Redirect("aspx.صفحه قبل");

}

[SAMARE]

خوب! اینجا دیگه باید تگ‌های html رو کنار بگذارید و به سراغ کنترل‌های asp برید!! به جای <a> می تونید از linkButton استفاده کنید که ظاهری شبیه لینک داشته باشه و توانایی‌های سروری!!
برای استفاده از session، کافیه شما یه متغییر session داشته باشید که در اون نام صفحه مبدا یا کد یا هر چیزی که مشخص کننده صفحه مبدا هست رو نگهداری کنید. در صفحه مقصد هم ابتدا این session رو چک کنید که بصورت صحیح مقدار دهی شده باشه، اگر مقدار دهی اون غلط بود، می تونید نتیجه بگیرید که کاربر از طریقی غیر از طریق استاندارد وارد صفحه شده و جلوش رو بگیرید. referrer هم لینک صفحه مرجع رو برمی گردونه اما زیاد قابل اعتماد نیست.
شما این ایده رو با خیلی روشهای دیگه می تونید پیدا سازی کنید حتی اگر فقط می خواید یک صفحه ویرایش مشخصات ایجاد کنید، می تونید از ajax استفاده کنید که دیگه این دردسرها رو هم نداشته باشید( قطع دسترسی کاربر به بقیه مرورگر تا زمانی که از ویرایش یا مشاهده انصراف نداده، مثل حالتی که در همین سایت برای نمایش تصاویر ضمیمه استفاده میشه)



دستور Transfer آدرس صفحه جاری رو نشون میده اما محتوای صفحه دیگه ای رو نمایش میده. البته برای استفاده از این دستور ریزه کاری هایی وجود داره که توی msdn می تونید اونها رو پیدا کنید

دوست عزيز من به دلايلي نميتونم از transfer استفاده كنم
چون من يا با استفاده از منو وارد صفحاتم ميشم يا اينكه با كليك بر روي دكمه يا لينكي كه درون گريدم قرار داره وارد ميشم (وارد يك صفحه popup ميشم كه اونم خودتون ميدونيد بايد از كد جاوااسكريپت استفاده كنم درون كد جاوااسكريپت هم كه نميشه از transfer‌ استفاده كرد!!!)

دليل استفاده از تگ a در هر سطر گريد ويو اينه كه فقط از اين طريق بلدم تابع جاوااسكريپت مربوط به باز كردن پنجره popup رو صدا بزنم !!!(البته با فرستادن id‌هر سطر بعنوان ورودي به تابع)

[SAMARE]

اگه درست منظورت رو متوجه شده باشم شما باید از اون صفحه ای که میخوای منتقل بشی به یه صفحه دیگه باید session ات رو پر کنی مثلا با زدن یک دکمه پس از چک کردن کار بر این کار رو انجام میدی :

Session["id"] = Session.SessionID;

Session.Timeout = 30;

Response.Redirect

("aspx.صفحه بعدی");

بعد تو formload صفحه بعدی که منتقل می شی این کد رو مینویسی:

if (Session.SessionID != Session["id"].ToString())

{

Response.Redirect("aspx.صفحه قبل");

}

دوست گرامي اين جواب نميده !!!
ميتونيد تست كنيد!!!

[elmira_63]

دوست گرامي اين جواب نميده !!!
ميتونيد تست كنيد!!!

من دارم استفاده می کنم ازش

ببین کد اول رو بعد از این که مطمئن شدی کاربر واقعی هست توی یه کلید می نویسی مثلا کلید ورود کاربر

کد دوم رو توی page_load صفحه دومت اگه err داد متنش رو بنویس تا ببینم مشکلت از کجاست

[goldax]

اینم یه نمونه.امیدوارم جواب خودتون رو بگیرید و این تاپیک تموم شه.
در این فایل نمونه هم می تونید session ها رو ببیند(هم اضافه شدن،هم چک شدن،هم از بین رفتن)
و هم می تونید لاگین کردن رو ببینید.در ضمن با .net 2008 هستش.

[SAMARE]

4- اگر باید شخص این url را از یک صفحه ی خاص باز کرده باشد می توانی از Urlreference استفاده کنی.

دوستان كسي ميتونه در اين رابطه توضيح بده!!!
آخه من چند صفحه popup‌دارم كه ميخوام حتما از صفحه مبدا خودشون باز بشن
چطور بايد از urlrefrence استفاده كرد؟؟؟

[naeeme]

من جواب دقیقی نمی تونم به سوالتون بدوم و فقط می تونم به طور کلی یه راهنمایی انجام بدم و شما خودتون دنبال بقیه اش برید. در حقیقت فقط می تونم بهتون یه ایده بدم . ابزارهای لازم برای اجرا کردن اون ایده رو بهتون معرفی کنم.

دليل استفاده از تگ a در هر سطر گريد ويو اينه كه فقط از اين طريق بلدم تابع جاوااسكريپت مربوط به باز كردن پنجره popup رو صدا بزنم !!!(البته با فرستادن id‌هر سطر بعنوان ورودي به تابع)

در مورد این سوالتون، در .net ما یک propertyبرای کنترلهای دات نتی داریم به نام Attributes که به Attributeهای کنترل‌ها اشاره می کنه. هر Attributeیی که برای کنترل‌های HTML وجود داره اما در معادل دات نتی اون وجود نداره، شما می تونید با متد ADD اون رو به کنترل دات نتی اضافه و بهش مقدار بدین.
مثلا برای Button ما onclick رو نداریم اما می تونیم با استفاده از Attributes اون رو به Button اضافه کنیم و بگیم چه متدی از جاوااسکریپت رو برای ما اجرا کنه.

حالا شما برای اینکه linkButton رو وادار به اجرای جاوا اسکریپت کنین می تونید از همین روش استفاده کنید.

---------------------------------
یه روش دیگه هم می تونید برای این صورت مسئله داشته باشید. شما می خواید اگر کاربر URL رو کپی کرد و در یک پنجره دیگه گذاشت نتونه محتوای صفحه رو ببینه.
یه روش ساده هست که اعتبار URL رو در هر بار باز شدن پنجره بررسی کنید.
اگر شما آدرس لینک های صفحه رو در هربار load شدن صفحه اصلی ایجاد می کند، می تونید از این روش استفاده کنید:
1) یک متغییر session داشته باشید که مربوط به اعتبار سنجی این قسمت باشه. بعد در هربار load شدن صفحه، یک مقدار تصادفی( تاکید می کنم که تصادفی باشه) در اون متغییر قرار بدید.
2) به انتهای تمام لینکهایی که می خواید اعتبار اونها رو بعدا تایید کنید، این مقدار تصادفی رو اضافه کنید
3)‌وقتی صفحه popup باز شد، کلید ارسالی( همون مقداردتصادفی اضافه شده به انتهای آدرس) و مقدار موجود در متغییر session یی رو با هم مقایسه کنید اگر برابر بودند که درسته اگر برابر نبودن محتوای صفحه رو به کاربر نشون ندید.