Sicurezza con le Session e funzione cript/decript

[wildsurf]

Ciao a tutti, sto esaminando dei problemi di sicurezza in un sito dove faccio loggare l'utente.
Vengono usati dei cookie e delle session per memorizzare i dati di login.
Ho notato che con Opera è semplicissimo cambiare al volo il contenuto di un cookie e la sua durata.
Mi chiedevo: la stessa cosa può avvenire con le session ?
Come posso premunirmi ?
Avevo pensato di crittografare i dati che scrivo nel cookie (e a questo punto anche nella session ?), esiste uno script che cripta e decripta (quindi reversibile) una stringa con una chiave personalizzabile ?

[DarioN1]

Le sessioni non possono essere taroccate perchè risiedono per metà sul server e per metà sul cookie

[santino83_11_04]

anche in windows è semplice:

codice:

C:\Documents and Settings\USERNAME_UTENTE\Cookies

e ti trovi tanti bei file di testo con tutti i tuoi bei cookie



...per le sessioni è diversa la cosa, a meno che tu non inizializzi una session con i cookie trovati nel pc dell'utente e i dati che usi siano rilevanti ai fini dell'applicativo (non si salvano dati sensibili nei cookie, solo il minimo indispensabile)

[wildsurf]

Il problema è proprio questo.
Il provider che ospita il sito, dopo 20 minuti fa scadere le session nonostante da asp abbia provato ad impostare un timeout più alto.
Avevo pensato di scrivere in un cookie i dati di login e nel caso la session sparisca, se il cookie ha valori impostati li riprendo da lì.
Ma a questo punto rischio grosso, per il motivo di cui abbiamo parlato prima.
Per questo pensavo ad una routine di crittografia (ma reversibile) che mi permetta di "oscurare" il significato di quello che c'è nel cookie.
C'è in giro qualche algoritmo che potrebbe servire allo scopo ?

[Cesar]

Scusate se mi intrometto

Allora, Response.Cookies("xxx").Secure = True a cosa serve ?