Vlastni zabezpeceni – co si o tom myslite?

16. 11. 2012 13:23:56

Ahoj všem,

napadlo mě, že bych si eshop, který tvořím, zabezpečil vlastním způsobem a zajímá mě názor odborníků...

jednoduše řečeno:

Po přihlášení - ověření jména a hesla se do session proměnné uloží hodnota zda je uživatel ověřen. Samotnou kontrolu jména a hesla bych provedl vůči MSSQL serveru použitím uložené procedury, která by mi vrátila hodnotu zda byl uživatel ověřen nebo ne (a popř. by zapsala každý pokus o přihlášení někam do log tabulky apod. nechci zabíhat do zbytečných detailů...).

Stránka s omezeným přístupem by obsahovala event handleru PreInit ověření hodnoty v session, zda jde o ověřeného uživatele. Pokud by se o ověřeného uživatele nejednalo provedu Request.End() což mi zajistí okažité přerušení zpracovávání kódu a přesměruji uživatele na stránku k přihlášení.

Je tento můj výmysl bezpečný? Hlavně mězajímá zda jsou v bezpečí hodnoty v session?..

Předem díky za jakékoliv komentáře.

16. 11. 2012 13:23:56

https://webtrh.cz/diskuse/vlastni-zabezpeceni-co-si-o-tom-myslite/#reply832264

MAHI

(15 hodnocení)

16. 11. 2012 13:41:32

Tak SESSION je relativně bezpečná - pokud nepředáváš třeba její ID jako parametr dotazu. :-)

Myslím, že by to mělo fungovat, ale osobně bych využil nějaké hotové řešení (hotové řešení eshopu.

16. 11. 2012 13:41:32

https://webtrh.cz/diskuse/vlastni-zabezpeceni-co-si-o-tom-myslite/#reply832263

(20 hodnocení)

16. 11. 2012 13:45:38

jinak nez jsi si zde nastinil se to ani nedela... kdyz to podporis https protokolem, tak jsi v pohode

16. 11. 2012 13:45:38

https://webtrh.cz/diskuse/vlastni-zabezpeceni-co-si-o-tom-myslite/#reply832262

DefinitionHigh

16. 11. 2012 15:03:36

Napsal marcus33cz;871020
Tak SESSION je relativně bezpečná - pokud nepředáváš třeba její ID jako parametr dotazu. :-)
Myslím, že by to mělo fungovat, ale osobně bych využil nějaké hotové řešení (hotové řešení eshopu.

nene, session_id nikde samozřejmě nepředávám :)

Hotové řešení nechci použít z několika důvodů:

- chci se naučit ASP (dělal jsem kdysi jen PHP a teď programuji v .NET C# a TSQL)

- chci ten systém (eshop) perfektně znát, mít jistotu kde se co děje

- nechci být limitovaný nějakým hotovým řešením a chci být schopný si rychle COKOLIV dodělat

- a v neposlední řadě mě to potěší, že jsem si to vytvořil sám :) ale hlavně ty neomezené možnosti a čistá struktura databáze :) ...

---------- Příspěvek doplněn 16.11.2012 v 15:04 ----------