Orsobruno ha scritto:

si si fusioman, quello che sviluppo io di solito non utilizza proprio i controlli lato client, le validazioni le esegue il server, limita i caratteri, sega i caratteri speciali. Così sei tranqui che tutto funzioni per davvero. La pensiamo in maniera identica.

Lato client serve solo a velocizzare la compilazione di dati e non perdere tempo a switchare tra le pagine di verifica e compilazione (evitando l'alienazione dell'utente); come sai è molto comodo ma spesso lo si prende per controllo vero e proprio sottovalutando i rischi.
Ad ogni modo mi piacerebbe una bella sezione dedicata esclusivamente alla sicurezza...
E' un ambiente molto poco conosciuto. Fare il sito che funziona non serve a niente se non mi ci posso fidare.

Io, nel mio piccolo potrei dare un piccolo contributo

bye

P.s. Noto ancora molto spesso che questo asp.net si incarta che è una bellezza!
Forse è dovuto al fatto che gli sviluppatori non hanno ancora esperienze approfondite in merito.

Quindi la soluzione migliore quale sarebbe?
Io gestire la situazione con un database, semplice tabella con i campi "SessionID" e "DataLogin".
Quando l'utente si logga inserisco una nuova riga nella tabella memorizzando il suo SessionID e la data e l'ora del login.
In ogni pagina che richiede l'autenticazione controllo se il SessionID dell'utente è stato lagato nelle ultime 2 o 3 ore e consento o meno di visualizzare la pagina.
In questo modo non utilizzo variabili di sessione, che possono rompere le scatole con il nuovo Winwos Server 2003 e nemmeno i cookies che possono dare problemi con le restrizioni sulla privacy.
Togliendo ogni possibilità di intrusione di persone indesiderate, dato che la SessionID viene generata dal server.
Voi che ne dite?

---

Modificato da mrdog il 03 maggio 2005 00.54 -