16-mar-2008, 18:48
|
#1 (permalink) |
 Fecha de Ingreso: marzo-2008
Mensajes: 49
|
problemas de seguridad?
tengo un problema de seguridad que no logro solucionar! Tengo una web con un formulario para registrarte, de momento solo tengo la zona de admistrador! la pagina prinicpal es ...Web/index.aspx si me registro i me valida me envia a Web/Administrador/principal.aspx?nUsuarioId=1; El problema que tengo es que si copio en el navegador directamente Web/Administrador/principal.aspx?nUsuarioId=1 me entra a la zona del administrador sin registrarme ni nada! Como hago para ponerle algo de seguridad? |
|
|
|
16-mar-2008, 19:20
|
#2 (permalink) |
|
Fecha de Ingreso: julio-2007
Mensajes: 395
|
Re: problemas de seguridad?
Varias formas, en lugar de agregar el usuario a la URL podes agregarlo a una variable de sesion y luego en el eveno page load consultas si esta variable esta cargada y si es valido el usuario.
Tambien en el web.config podes agregar elementos para verificar si tu cliente esta logeado Pasa pora aca... http://msdn2.microsoft.com/en-us/library/ms998310.aspx |
|
|
|
17-mar-2008, 16:16
|
#4 (permalink) |
|
Fecha de Ingreso: julio-2007
Mensajes: 395
|
Re: problemas de seguridad?
Eso es mas complicado, por defecto viste que son 20 minutos la sesion que esta configurado en el web.config
No recuerdo bien como poder controlar el cierre de sesion por un navegador, es mas... me parece que no es del todo confiable los metodos que andan por la web. Igualmente si alguien copia la url, cierra la ventana y habre, no deberia poder acceder a tu pagina, ya que la sesion es otra, y de ultima a los 20 minutos se cierra sola la sesion. No se que queres controlar cuando se cierra la ventana!!! |
|
|
|
|
17-mar-2008, 16:46
|
#5 (permalink) |
|
Fecha de Ingreso: marzo-2008
Mensajes: 49
|
Re: problemas de seguridad?
Yo tengo un boton que es Salir! si apreto este boton y copio la dirrecion y la pongo en el navegador directamente me sale el error de que no estoy logeado. Pero si cierro la ventana del mozilla o el explorer y lo abro directamente desde la dirrecion de administrador me entra como si me hubiera logeado?
|
|
|
|
|
17-mar-2008, 18:46
|
#7 (permalink) |
|
Fecha de Ingreso: julio-2007
Mensajes: 395
|
Re: problemas de seguridad?
Fija te si en la url que copias hay una serie de caracteres parecido a esto: (S(cl2bhx45ltvamlfgjvoiao55)), no te fijes en las letras y numeros si son iguales, solo si hay algo por el estilo......
Si tenes esto es que estas mostrando el id de la sesion, y por eso puede volver a ingresar copiando la url, esto lo podes ocultar desde el web.config en la opcion cookieless="false": <sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;user id=sa;password=" cookieless="true" timeout="20"/> Estoy seguro que estas mostrando el id y por eso el usuario puede ingresar, si no es imposible copiando la url. PD lo que dice el amigo Pterpay es viable tambien pero solo con un boton y no cubre el cierre del explorador ok. |
|
|
|
 |
| Herramientas | |
| Desplegado | |
|
|
Mode Lineal
