Area protetta con i cookie

[Starky]

Ciao a tutti,
sto sviluppando un'area ad accesso limitato con i cookie.
Visto che è la prima volta che affronto il discorso (solitamente uso le variabili di sessione) ho riscontrato alcuni problemi.

Dunque. Ho 3 pagine interessate:

1. loginpage
2. controllo codici di accesso
3. pagina di benvenuto

loginpage
Questa pagina contiene i campi per l'inserimento dei codici di accesso. Non dovrebbe avere problemi.

controllo codici di accesso
In questa pagina passo solo se inserisco i codici di accesso dalla loginpage. Controlla le seguenti cose:


a. Prende i codici di accesso
b. Confronta i codici nel database e controlla se esistono.
c. Se non esistono restituisce un errore
d. Se esistono guarda il livello dell'utente. Se è un livello diverso dal livello definito manda un errore
e. Se il livello corrisponde a socio imposta un cookie e mi indirizza alla pagina dei soci

pagina di benvenuto
La pagina di benvenuto (e tutte le altre pagine) contengono un controllo di questo tipo:

codice:

ckUser=request.cookies("SalvaLogin")("username")
ckPassword=request.cookies("SalvaLogin")("password")
If (ckUser<>"" And ckPassword<>"") then
' mi fa vedere la pagina
Else
' mi sbatte fuori
End if

Mi sembra francamente un controllo errato
Poi ora ho provato a loggarmi. Viene effettivamente creato il cookie e vengo indirizzata alla pagina di benveuto ... ma se cancello il cookie non vengo sbattuta fuori! Come mai??

Come devo impostare correttamente il controllo in tutte le pagine?


Grazie

[rixx]

devi controllare che il cookie esista in ogni pagina

[Starky]

Quindi va bene il controllo che ho scritto?

[ciucciatiilcalzino]

sei sicuro che hai cancellato il cookie giusto

poi per fare una prova
chiudi excplorer

cancella il coockie

e vai direttamente a quella pagina
tipo localhost/tuo/pagina di benvenuto.asp


in tutto questo però c'è una cosa che non capisco
il cookie resta scritto?
è un cookie permanente?

se si
uno va su questo pc dove precedentemente uno si è loggato correttamente, e va direttamente a pagina di benvenuto
che trova i cookie scritti in precendenza, e entra senza loggarsi

[Starky]

Dunque, ho provato a chiudere IE e poi l'ho riaperto ed effettivamente non mi ha fatto rientrare.

Per quanto riguarda il discorso del cookie permanente ... non è così anche in questo forum? Ovvero qualsiasi persona che usa il mio pc può scrivere con il mio user visto che trova sempre il cookie impostato! É così terribile dici?

il problema è che mi è stato richiesto di non dover digitare tutte le volte user e password e io sto usando i cookie proprio per questo altrimenti avrei continuato ad utilizzare le variabili di sessione

[rixx]

dunque se tu cancelli il cookie e aggiorni la pagina ti sbatterà fuori...

1 piccolo consiglio..non dichiarare variabili inutili..fai semplkicemente:

if request.cookies("SalvaLogin")("password")="" then
response.redirect("errorpage.asp")
end if

[ciucciatiilcalzino]

non è così terribile

dipedne uno che deve fare
se l'accesso a un area utente di una banca online
o di un forum

in un forum se uno scrive una caz...ta a nome tuo non è così grave come se fa un bonifico al posto tuo

se uno entra in un pannello di amministrazione di un sito che gestisce dati (riservati) di persone, o altre prezzi di prodotti ..ecc..ecc.
e cambia cose che non dovrebbe cambiare o vedere cose che non dovrebbe vedere :master:

[rixx]

ma che mi dici mai ciucciatiilcalzino ehm..
allora..se uno usa un cookie si memorizzerà sempre la passoword dell'utente, possibilmente cryptata e anche se uno cambia il nome dell'utente la passoword è sbagliata percui col cavolo che si logga...
quel controllo li è uno di esempio per una cosa sicura 1 devi creare una funzione che controlli che la password è uguale a quella nel db e controllarla nelle tue pagine

[Starky]

Originariamente inviato da rixx
per una cosa sicura 1 devi creare una funzione che controlli che la password è uguale a quella nel db e controllarla nelle tue pagine

Esatto. Il controllo migliore sarebbe questo ... cioè non solo controllare che esista il cookie ma piuttosto confrontare che i dati contenuti nel cookie siano corrispondenti a quelli nel DB.

[ciucciatiilcalzino]

Originariamente inviato da rixx
ma che mi dici mai ciucciatiilcalzino ehm..
allora..se uno usa un cookie si memorizzerà sempre la passoword dell'utente, possibilmente cryptata e anche se uno cambia il nome dell'utente la passoword è sbagliata percui col cavolo che si logga...
quel controllo li è uno di esempio per una cosa sicura 1 devi creare una funzione che controlli che la password è uguale a quella nel db e controllarla nelle tue pagine

forse non sono stato chiaro o non ho capito

Starky, ha detto che vuole evitare che uno per accedere a uno'aria debba sempre loggarsi, e ha chiesto è così importante loggarsi?

io ho spiegato il perchè e in che caso conviene farsi loggare
non ho detto che se cambia utente senza mettere la password o con una password già inserita si entra

ho detto che se uno va direttamente alla pagina di benvenuto saltando il login e il controllo trova dei cookie precedentemente scritti un qualsiasi utente su quel pc puo accedere a questa