problemas de seguridad?

EdgarFA · #1 (**permalink**) 16/03/2008, 18:48

Hola!
tengo un problema de seguridad que no logro solucionar! Tengo una web con un formulario para registrarte, de momento solo tengo la zona de admistrador!
la pagina prinicpal es ...Web/index.aspx si me registro i me valida me envia a Web/Administrador/principal.aspx?nUsuarioId=1;
El problema que tengo es que si copio en el navegador directamente Web/Administrador/principal.aspx?nUsuarioId=1 me entra a la zona del administrador sin registrarme ni nada!
Como hago para ponerle algo de seguridad?

mdavila · #2 (**permalink**) 16/03/2008, 19:20

Varias formas, en lugar de agregar el usuario a la URL podes agregarlo a una variable de sesion y luego en el eveno page load consultas si esta variable esta cargada y si es valido el usuario.

Tambien en el web.config podes agregar elementos para verificar si tu cliente esta logeado
Pasa pora aca...
http://msdn2.microsoft.com/en-us/library/ms998310.aspx

EdgarFA · #3 (**permalink**) 17/03/2008, 12:14

mdavila ya lo he echo como tu dices, pero tengo un problema como hago para cerrar la session si un usuario cierra el navegador??

mdavila · #4 (**permalink**) 17/03/2008, 16:16

Eso es mas complicado, por defecto viste que son 20 minutos la sesion que esta configurado en el web.config
No recuerdo bien como poder controlar el cierre de sesion por un navegador, es mas... me parece que no es del todo confiable los metodos que andan por la web.

Igualmente si alguien copia la url, cierra la ventana y habre, no deberia poder acceder a tu pagina, ya que la sesion es otra, y de ultima a los 20 minutos se cierra sola la sesion.

No se que queres controlar cuando se cierra la ventana!!!

EdgarFA · #5 (**permalink**) 17/03/2008, 16:46

Yo tengo un boton que es Salir! si apreto este boton y copio la dirrecion y la pongo en el navegador directamente me sale el error de que no estoy logeado. Pero si cierro la ventana del mozilla o el explorer y lo abro directamente desde la dirrecion de administrador me entra como si me hubiera logeado?

Peterpay · #6 (**permalink**) 17/03/2008, 18:30

Estas haciendo un Session.Clear??

mdavila · #7 (**permalink**) 17/03/2008, 18:46

Fija te si en la url que copias hay una serie de caracteres parecido a esto: (S(cl2bhx45ltvamlfgjvoiao55)), no te fijes en las letras y numeros si son iguales, solo si hay algo por el estilo......
Si tenes esto es que estas mostrando el id de la sesion, y por eso puede volver a ingresar copiando la url, esto lo podes ocultar desde el web.config en la opcion cookieless="false":

<sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;user id=sa;password=" cookieless="true" timeout="20"/>

Estoy seguro que estas mostrando el id y por eso el usuario puede ingresar, si no es imposible copiando la url.

PD lo que dice el amigo Pterpay es viable tambien pero solo con un boton y no cubre el cierre del explorador ok.

EdgarFA · #8 (**permalink**) 18/03/2008, 11:15

Tengo un webform que redirreciono con esto
protected void Page_Load(object sender, EventArgs e)
{
Session.Clear();
Session.Abandon();
Response.Redirect("../../index.aspx");
}