Sesiones y seguridad

Hola, en el sistema que estoy contruyendo, hay una parte que solo acceden los usuarios, y se basa en sesiones, pero una ves la pagina comprobado que existe la sesion, se pasa por unas sentencia para determinar los permisos de la cuenta, y yo me pregunto, solo para el tema de las sesiones, si el siguiente codigo es seguro para la sesiones

<%If Session("pagina") = "pagina" then%>
<%Else%>
<%End If%>

No entendí muy bien tu pregunta, pero el valor depende de lo que tu le asignes, si la pregunta es si así se trabaja regularmente la implementación de seguridad mediante sesiones, la respuesta es sí.

Saludos

Entre sesiones y cookies me gustaria saber lo siguiete:

en la comunidad que estoy haciendo, algunos sitios webs externos a mi dominio, necesitaran que les gestione sus propias zonas de acceso por login, claro esta, los archivos de recepcion de datos en el login estaran en mi dominio y devolvera al usuario a la pagina de respuesta en el otro dominio o mejor dicho del dominio que viene.

Ahora bien, con sesiones esto no se puede hacer, pero cookies se podria hacer? o sino que forma me recomiendas aparte de estas dos?

Me parece que tu pregunta es interesante, pues estamos hablando de autentificar mediante un dominio A, varios dominios, creo que yo no ocuparía cookies para este propósito, pues siempre estamos dependiendo un poco más del cliente, quizás lo que yo intentaría, sería hacer llamadas xmlHttpRequest -server side- al dominio que se encargará de autentificar, y devolver una respuesta si/no, eso sería todo, así el usuario ni siquiera notará que está abandonando el dominio B para ser autentificado en el dominio A, si pasa la autentificación, entonces puedes crear la sesión en el dominio B.

Saludos

Asi lo he comprendido:
El tema seria que el dominio A, Identifique el dominio desde donde vengan los datos mediando post, es decir, que el dominio A sea capaz de identificar los datos sin posibilidad que desde el formulario externo en el dominio B tenga ningun tipo de identificador es decir: (que me hago un lio hasta yo)

que el dominio A sea capaz de identificar el DOMINIO B sin que el DOMINIO B le diga nada, sino se podria modificar la variable en el DOMINIO B o desde el DOMINIO B y el invento no funcionaria.

De todas formas, me podrias explicar como seria la estructura de tu xmlHttpRequest -server side- por favor?
Gracias

No entendi la pregunta, por favor explicate un poco mas.

Saludos

Mira tengo aun un poco de lio, explicame la estructura del XmlHttResquest y te explico mi idea y lo adaptamos :)

Al pedirte que abundaras más es precisamente porque no entendí NADA de tus cuestionamientos anteriores, y eso incluye la "estructura" del xnlHttpRequest, de qué estructura hablas? No es más que un objeto para hacer llamadas xml vía http.

En fin, suerte con tu desarrollo, ojalá que mentes más iluminadas puedan entender lo que preguntas.

Haber si consigo explicarlo bien:
Tenemos el dominio A y el DOMINIO B.
Tengo la misión de construir un sistema de identificación para sitios externos.
En el dominio A esta los datos, los archivos de identificación y los archivos de recpcion de datos del POST. y en el DOMINIO B esta el formulario de entrada y las paginas de respuesta.
BIEN
Cuando se envien datos al dominio A en METODO POST, desde cualquier otro dominio, lo que necesito es que el DOMINIO A, sea capaz de identificar el dominio desde donde se estan enviando estos datos.

Y lo que te pregunto es: El Objetos que me dices, es capaz de haces esto.

Por que el objeto tiene que estar en el DOMINIO A, es decir, sea lo que sea q identifique al dominio, tiene que estar en el A, por que si estuviese en el B, desde el DOMINIO B se podria hacer una especie de falsificacion.

Bueno amigo, espero haberme explicado bien, espero respuesta

Estimado aspmasterman, la recomendación en el uso de este objeto es precisamente porque puede ayudarte en la solución de tu problema, una vez que tenemos una guía, el conocimiento solo está a unos cuantos clicks de distancia:

http://www.4guysfromrolla.com/webtech/110100-1.shtml

Puedes envíar igual por POST que por GET, puedes enviar parámetros y todo...

Saludos

Entonces, este objeto es capaz de:

Supongamos que lo pongo al principio del script: Extraer al final de todo una variable que equivalga a la URL de donde se envían los datos en método post?

Seria mucho pedir, que me escribieras dos lineas de script, capaz de identificar la URL externa por donde en método post, se envían los datos??

O sino, hay alguna forma tipo Resquest("URL"), pero q no sea para el formulario, sino que de todos los datos q entren mediando post, un tipo de resquest q identifique de que url externa bienen los datos.

Es q no lo pillo.
Gracias

what? La verdad lei no menos de 3 veces lo que escribiste y me quede en las mismas, si elaboras un poquito mas, con mas calma y claridad seguramente te podremos ayudar mejor.

Saludos

ME voy a poner a escribir un documento aclaratorio

aspmasterman, si que puedes hacer lo que quieres y con el objeto Microsoft.XMLHTTP no deberias de tener problemas.

El principal inconveniente de tu sistema es que la conexión entre el dominio demandante y el que controla la seguridad debería de ser una conexión segura e intercambiando algún token generado por sistemas clave publica/privada. Porque sino, será vulnerable.

Salu2.

Vaya...no habia visto esta respuesta :-p yo creo que más bien lo que necesitas es saber lo que preguntas e investigar un poco antes de escribir.