Proteziona area riservata

[diwla]

Ciao a tutti...
volevo chiedere un consiglio: io ho un sito dove è possibile accedere ad una interfaccia di gestione tramite web attraverso la quale è possibile generare, modificare o cancellare dei record dal db.
Io ho fatto un moduletto di login dove si inserisce nome utente e password e, se questi risultano presenti nella tabella utenti del mio db, assegno ad una Session("Login") il numero ID dell'utente corrispondente, poi reindirizzo alla pagina di gestione nella quale per prima cosa controllo

if Session("Login") > 0 then
ok
else
torna alla pagina di login
end if

in questo modo se io digito l'indirizzo www.miosito.it/gestione.asp vengo mandato automaticamente a www.miosito.it/login.asp in quanto Session("Login") non è maggiore di 0.

Secondo voi quanto facile è aggirare questa piccola protezione?
Cosa mi consigliate di fare per proteggere maggiormente quest'area?
...Grazie.

[diwla]

Secondo voi quanto facile è aggirare questa piccola protezione?
Cosa mi consigliate di fare per proteggere maggiormente quest'area?
...Grazie.

[diwla]

[michele.santoro]

Non ti meravigliare che nessuno ti risponda! L'argomento è già stato trattato e non si può dire quanto sia sicura una protezione solo guardando un pezzetto di codice. La sicurezza di dati su web dipende da tanti fattori, uno dei quali è anche il codice di protezione.
Comunque se puo farti piacere a volte uso anch'io quella tecnica e la cosa funge. Devi però proteggere anche il database e mettere il database in una cartella che non permette lo scaricamento del database .......... per il resto fatti la ricerca sul forum

[diwla]

Il database direi che è abbastanza protetto in quanto utilizzo MSDE2000 installato su un server dedicato solo ai database diverso da quello dove ho le pagine dei siti e protetto da password.
Per quanto riguarda la tecnica della Session("Login") il mio dubibo è questo: se uno si fa una pagina con un codice tipo...

Session("Login") = 12
Response.Redirect("www.miosito.it/gestione.asp")

...riesce ad accedere o il sistema riconosce che la chiamata arriva da un dominio diverso e quindi azzera la session?
Se la sessione viene azzerata direi che non c'è modo di fregarla ma in caso contrario la cosa sarebbe più che facile... basterebbe conoscere il nome della session e azzeccare un numero id valido...

[Roby_72]

Direi che ti sei risposto da solo...
Il "tuo" server assegna la sessione quindi stai tranquillo.

Roby

[diwla]

Grazie Roby,
se lo dici tu credo di potermi fidare...
solo un'altra domandina...
sul mio server ho diversi siti, su alcuni di questi i clienti possono accedere direttamente via ftp, se la pagina in questione fosse sullo stesso server anche se su un dominio diverso la cosa funzionerebbe?

[Roby_72]

Non ho capito...

Roby

[Gioba66]

le sessioni valgono dominio per dominio
solo attenzione all'accesso FTP. che ciascuno possa arrivare al codice proprio e basta, se no può modificarti i controlli

[diwla]

x Roby, mi spiego meglio:
sul mio server ho configurato www.miosito.it e www.tuosito.it, se tu accedi alla tua area (www.tuosito.it) sul mio server ed inserisci la pagina con il codice...

Session("Login") = 12
Response.Redirect("www.miosito.it/gestione.asp")

c'è la possibilità che la session venga mantenuta?
Gioba66 ha già risposto alla domanda, confermi anche tu quanto detto da lui?

x Gioba66:
nei casi in cui consento l'accesso via ftp configuro un utente apposta per ogni cliente e nell'IIS inseriso una nuova virtual directory con lo stesso nome dell'utente che punta esattamente alla cartella dove è presente il suo sito, se quindi il cliente accede via ftp con le sue password apre direttamente la sua cartella... mi confermi che in questo modo non può modificare i controlli?

Grazie...