Este sistema de seguridad sirve?

Tengo un sitio al cual para ingresar hay que logearse, pero lo que quiero evitar es que una vez que el usuario sepa la ruta a alguna de las paginas del sitio no pueda ingresar directamente escribiendo la ruta en la barra de direcciones.

Por ej:
"ww.misitio.com\carpetarestringida\archivoparaloge ados.asp"

Entonces anduve leyendo por ahi y termine haciendo una variable session("logeado") que al ingresar bien la clave del login se pone TRUE. Y en todas las paginas me fijo antes si session("logeado") es TRUE sino lo redirecciono a la pagina del login automaticamente.

Ya lo implemente y ande bien, pero quiero saber si alguno sabe de alguna falla que tenga este sistema.

Si sirve...pero recuerda que la seguridad no es enteramente labor de la plataforma, habría que ver qué, cómo y cuándo estás implementando tu seguridad.

Saludos

Con que sirva como algo basico es suficiente, tampoco estoy programando para el pentagono.

Ahora me surgio otro problema, que ya solucione pero tengo mis dudas:

El sitio que hice consta de algunas paginas en asp y usa una base de datos pequeña. Como lo usan diferentes clientes, para no mezclar los datos de todos en la misma base, lo que decidi hacer es carpetas diferentes en donde cada uno tiene todas las paginas asp y su propia base de datos.
En la carpeta raiz esta el login.asp el cual si se logea bien redirecciona al cliente a su carpeta. Que seria algo asi:

ww.misitio.com/cliente1/index.asp
o
ww.misitio.com/cliente2/index.asp

Anda todo bien. Ahora supongamos que entra un cliente y se logea bien, esto pone a la variable Session("logeado") = TRUE, con lo cual puede acceder a sus paginas en su carpeta. Pero el problema es que si al usuario se le ocurre cambiar la ruta en la barra de direcciones cambiando "cliente1" por "cliente2" este entraria en el index.asp del otro cliente ya que su Session("logeado") es TRUE, me explico??

Lo que se me ocurrio es que cuando se logea, la variable Session tome el valor de su respectiva carpeta, osea "ww.misitio.com/cliente1/index.asp " y que cada pagina se fije si la ruta actual coincide con la Session, asi si se cambia de carpeta no coincide la ruta con el session y lo redirecciona al login.

Esta bien lo que hice? ven algun problema con eso????

en ese caso si entraria el usuario, ...(si conociera esa ruta que tu pones)...,

por que?? por que tu solo evaluas que sea SESSION("logeado")=TRUE

necesitarias anexarle otro campo u otra variable session, solo para separarlos

suerte

Y en todo caso por qué depender de la ruta?
session = 1
session = 2
session = 3
session = N

Como de todas maneras tienes que modificar todos estos archivos, cada carpeta tiene un valor. No me terminar de convencer pero es mejor que utilizar la ruta.

Saludos

creo que seria mas factible tener un IFRAME, oculto para que no se conosca a que carpeta esta entrando el usuario, de esta manera no podra cambiar a ningun lado y ni cuenta se dara que navega dentro de otras instancias de tu servidor

a eso agregale lo que U_G () te dice

Pero...y si veo el código fuente?

pero que tal si....

en la cookie que le generas a un usuario X
se le asigna el:
path=" + ruta;
domain=" + dominio;
y el IFRAME utilice la FAQ 49

aunado a lo que ya se comento....

Por eso ! entraria igual !, entonces en vez de que session sea True o False le doy el valor de la carpeta que corresponde a ese cliente, por ej:

Entonces en todas las paginas asp pongo lo siguiente:
Entonces el logeo solo funciona para la carpeta del cliente y no para otra. Y es mas facil de pegar el codigo en todas las paginas porque es el mismo codigo para todas.

Me parece una buena solución .
Es más, no "pegás" el mismo código en toooodas las carpetas. Usás un include virtual a ese archivo ubicado en la raíz del servidor.

buena llamada

ahora te tocan las birrias por hacerlo sencillo

Saluddd!!

Buenisimo !!! entonces voy a hacer eso.

Ahora tengo otra consulta !!! esta vez mas facil creo.

Unas de estas paginas asp de las que les hable es el centro de todas, supongamos index.asp
Esta pagina es dos al mismo tiempo, por un lado es una pagina que muestra unos simples datos al visitante y por el otro funciona como un panel de control por parte del administrador, que vendria a ser la persona que se logea.
Resumiendo, si entras con un querystring ?administrador=si , la pagina funciona como panel de control, y si entras sin ningun querystring te toma como un usuario comun y corriente y te muestra ciertos datos.

Mi objetivo es ocultar ese querystring para que ningun usuario lo escriba por su cuenta.

Se que para eso hay dos opciones, una pasar los datos con request.form, la cual no puedo porque al logearse lo redirecciona automaticamente. Y la otra es con frames pero prefiero no meterme en eso porque ya anda casi todo perfecto asi como esta.

Mi pregunta entonces es: si en vez de usar un querystring lo hago con session que desventajas podria tener??

imagino que todos e incluso el administrador tiene que forzosamente entrar por INDEX.ASP, para logearse, es asi???

ahora si fuese esto cierto,
como sabes quien es administrador o no?
tiene un campo en la base donde describes "tipo de cuenta"???

si es afirmativo...
simplemente el orden de los IF para preguntar antes de mostrar todo, y EVITA PONER PARAMETROS EN EL URL

if session("loguearse")<>"ok" then

formulario de inicio de session

else

if session("tipo")<>"admin" then

pagina normal

else

pagina para administrador

end if

end if

es una forma...

suerte