Salve,
ho un piccolo dubbio sui cookie.
In una web-application ho usato il sistema dei cookie per identificare gli utenti che accedono ad essa. Inoltre, poiché vi sono diversi ruoli all'interno della web application (iscritto, amministratore...), nel cookie ho inserito il ruolo dell'utente identificato, evitando così, per ogni pagina (o più volte nella stessa pagina), l'accesso al dbper controllare il ruolo dell'utente e modificare, ad esempio, la pagina di conseguenza.
E' una soluzione sicura? Il semplice utente iscritto, potrebbe modificare il cookie e inserire, come ruolo, "Amministratore"?
Io ho provato a farlo modificando il cookie con il Blocco Note (o sostiuito ad Iscritto, Amministratore), ma al ravvio della web-application il cookie si cancella automaticamente (pur essendo persistente) e pertanto non ho nessun problema....ma esiste qualche altro metodo più "da hacker"????
Grazie
Rispondi quotando
