سلام دوستان خسته نباشید
2 ساعته دارم تو این فروم میگردم که بفهمم استفاده از session برای اعتبار سنجی کاربران خوب هست یا نه امنیت داره یا نه ولی به حواب نرسیدم!راحبه این مسئله به حواب نرسیدم

تاپیک های زیادی هست که به جواب نرسیده موضوع تاپیک منم این نیست!

من از دوستان درخواست دارم راجبه امن کردن session ها هر مطلب یا مقاله ای دارن در اختیار دوستان قرار بدن!!

(ترحیحا زبان مادری)

والله من مقاله سراغ ندارم ولی ازاش استفاده میکنم و هیچ مشکلی پیش نیومده تا حالا
شمام استفاده کن و زیاد سخت نگیر:چشمک:

والله من مقاله سراغ ندارم ولی ازاش استفاده میکنم و هیچ مشکلی پیش نیومده تا حالا
شمام استفاده کن و زیاد سخت نگیر:چشمک:
این نشد جواب

مقاله به زبان مادری سراغ ندارم اما این مطلب (http://msdn.microsoft.com/en-us/library/ms178201.aspx) در msdn با عنوان Securing Session State مطلب بدی نیست اما اگه بخوایم یه جواب کوتاهتر بگیم مطلب زیر میتونه جواب قابل قبولی باشه


To store information to use between requests you have these options:

Hidden Fields: You should never use this to store sensitive information, because the user (or an malicious user) can get that information;
ViewState: You should avoid to store sensitive information here, but if you really, really really need it, you should encrypt the viewstate;
Cookies: You should never use this to store sensitive information. Like the Hidden Field, it's easy to see the information inside.
Session: If you really need to store that data, here is the place you should use. In IT world, there is nothing safe, but this is the safer place to save that information.

سلام دوستان خسته نباشید
2 ساعته دارم تو این فروم میگردم که بفهمم استفاده از session برای اعتبار سنجی کاربران خوب هست یا نه امنیت داره یا نه ولی به حواب نرسیدم!راحبه این مسئله به حواب نرسیدم


سلام ,

به طور خیلی خلاصه , Session به خودی خود از آنجایی که تنها در سمت سرور ذخیره میشود تا حدی ایمن هست ولی برای نگهداری اطلاعات مهم مناسب نیست . زیرا امکان Session hijacking نیز وجود دارد .

در مورد اعتبار سنجی کاربران نیز استفاده از Session یکی از بدترین راههای ممکن است . استفاده از Membership API ASP.NET توصیه می شود.

موفق باشید

سلام ,

به طور خیلی خلاصه , Session به خودی خود از آنجایی که تنها در سمت سرور ذخیره میشود تا حدی ایمن هست ولی برای نگهداری اطلاعات مهم مناسب نیست . زیرا امکان Session hijacking نیز وجود دارد .

در مورد اعتبار سنجی کاربران نیز استفاده از Session یکی از بدترین راههای ممکن است . استفاده از Membership API ASP.NET توصیه می شود.

موفق باشید

میشه بگین چرا بدترین راه است

دقیقا من هم می خوام بدونم چرا بدترین را هه؟!چه طور امنیت نداره؟

آقای دیندار ما منتظر جواب شما هستیم؟؟؟

من هم فکر میکنم بدترین روش میباشد چون با session hijacking هکر میتواند خودش را به عنوان یک مدیر جای بزند و تمام دسترسی ها رو داشته باشد

دوستان اگر در مورد Session hijacking اطلاعات بیشتری دارین ممنون میشم بیان کنید + راه های مقابله با آن