PDA

View Full Version : امنیت،Session و FormsAuthentication


rahami
سه شنبه 19 مهر 1384, 09:17 صبح
سلام
من برای اینکه بدانم چه کاربری در صفحات سایت می گردد از Session استفاده می کنم.
Session["UserName"]=...
البته چون اطلاعات موجود برای کاربر ناشناس هم می تواند نمایش داده شود - البته به طور محدودتر - از FormsAuthentication استفاده نکردم.
سوال اینجاست که آیا این روش به لحاظ امنیتی توصیه می گردد ؟ و آیا یک یوزر می تواند کوکی هایی را که در مرورگرش ساخته میشود دستکاری کند تا بتواند به اطلاعات خاص دیگر یوزر ها پی ببرد؟
Identifier
شنبه 23 مهر 1384, 16:16 عصر
اگر کوکی باشه بلی ولی اگر از سشن استفاده شود چون سمت سرور هست فکر نمیکنم
manager
شنبه 23 مهر 1384, 22:01 عصر
به نظر من چون کوکی ها هم کد شده هستند نمی تونه به راحتی این کار رو انجام بده
titbasoft
یک شنبه 24 مهر 1384, 12:55 عصر
در مورد session hijacking مطالعه بفرمائید!
niloofar84
دوشنبه 25 مهر 1384, 02:17 صبح
hello
برای Session مگه نمیشه از coociless mode استفاده کرد؟
titbasoft
دوشنبه 25 مهر 1384, 12:38 عصر
برای Session مگه نمیشه از coociless mode استفاده کرد؟بازم مشکل session hijacking حل نمیشه ، با استفاده از cookieless session مشکل ساخته شدن کوکی در browser های که از کوکی های client side پشتیبانی نمی کنن حل میشه.