Impedire La Modifica Dei Parametri Sull'url

[blackend]

Ciao a tutti
penso di avere un problema abbastanza noto ma non ho trovato risposte in giro...

ho un sito con area privata gestito da session con scadenza, ma ovviamente se un utente malintenzionato volesse cambiare sull'url i parametri potrebbe accedere a dati non suoi sul sito, es:

www.miosito.it/pagina.asp?idg=2 se lo cambio con idg=4 potrebbe accede ad altri dati.

Ora PER QUANTO MI RIGUARDA risulterebbe piu semplice se ci fosse un metodo per proteggere i dati contenuti nell'URL che cambiare l'architettura di tutte le pagine.

Consigli????

Grazie

[chipdb]

Si, tu conosci i permessi dell'utente X e se tenta di accedere a dati dell'utente Y gli appare un messaggio di errore (è un semplice IF non è suo THEN errore). Ovvio che c'è da modificare qualcosa nell'infrastruttura...

[blackend]

Si significa modificare tutte le query, una cosa che vorrei evitare, altri suggerimenti?

[chipdb]

Originariamente inviato da blackend
Si significa modificare tutte le query, una cosa che vorrei evitare, altri suggerimenti?

Query? Scusa ma.... Utente X si logga, in Session scrivi

codice:

Session("utenteloggato") = "utenteX"

Quando apri le pagine fai:

codice:

if not <QUESTAPAGINA> è di Session("utenteloggato") then
   'errore
end if

Che query devi fare?

[blackend]

il codice solitamente proposto è
<% if session(login) the

codice....

else

response redirect error.asp

tanto per farti capire

Se io fossi quell'utente "session" e fossi ipoteticamente in www.fff.it/id=2 e mi venisse in mente di dire "vediamo cosa succede se metto id=3" potrebbe incappare in dati che non sono i suoi.

il session è usato solo per passare una variabile che viene utilizzata in certe query ma non su tutte per questo dico se c'è un metodo alternativo se no mi toccacambiare l'architettura delle pagine, anche perchè i parametri passati possono far riferimento a campi di tabelle non direttamente contenenti la variabile session

spero di essermi spiegato

[chipdb]

Non c'è un modo per evitare che uno modifichi i parametri della query, perchè si tratta di dati client-side e quindi con ASP puoi fare ben poco! L'unica possibilità che hai è modificare l'infrastruttura dietro, ovvero cosa permetti e a chi... nello specifico, a quali pagine l'utente X può accedere o meno... è più chiaro? Se vedi quello che ho scritto ho detto che devi controllare se la pagina che l'utente vuole visualizzare è visibile per lui o meno, se no dare errore...

[blackend]

ok grazie.

[br1]

Controlla la pagina di provenienza: se non e' quella giusta ...

ciao

[Santino83_02]

no, controlla che la pagina sia effettivamente dell'utente, se nò nisba e fai redirect via. Se la cosa comporta grossi cambiamenti, vorrà dire che la prossima volta che farai una cosa del genere saprai già prevenirne i problemi. Purtroppo certe cose (vabbeh non commento) si imparano solo con l'esperienza

[optime]

da' un'occhiata qui http://www.15seconds.com/issue/020701.htm