134 messaggi dal 20 marzo 2001
Orsobruno ha scritto:
si si fusioman, quello che sviluppo io di solito non utilizza proprio i controlli lato client, le validazioni le esegue il server, limita i caratteri, sega i caratteri speciali. Così sei tranqui che tutto funzioni per davvero. La pensiamo in maniera identica.

Lato client serve solo a velocizzare la compilazione di dati e non perdere tempo a switchare tra le pagine di verifica e compilazione (evitando l'alienazione dell'utente); come sai è molto comodo ma spesso lo si prende per controllo vero e proprio sottovalutando i rischi.
Ad ogni modo mi piacerebbe una bella sezione dedicata esclusivamente alla sicurezza...
E' un ambiente molto poco conosciuto. Fare il sito che funziona non serve a niente se non mi ci posso fidare.

Io, nel mio piccolo potrei dare un piccolo contributo

bye

P.s. Noto ancora molto spesso che questo asp.net si incarta che è una bellezza!
Forse è dovuto al fatto che gli sviluppatori non hanno ancora esperienze approfondite in merito.
33 messaggi dal 04 aprile 2005
io di solito per non fare impazzire l'utente faccio una pagina asp che mantiene lo stato del modulo dopo ogni verifica, per esempio se tu compili un modulo d'iscrizione e sbagli qualcosa la pagina ti da errore ma i dati che hai già inserito vengono tutti salvati. Non creo mai una pagina di verifica separata da quella del form. Ognuno insomma ha i suoi pallini.
63 messaggi dal 08 febbraio 2002
Quindi la soluzione migliore quale sarebbe?
Io gestire la situazione con un database, semplice tabella con i campi "SessionID" e "DataLogin".
Quando l'utente si logga inserisco una nuova riga nella tabella memorizzando il suo SessionID e la data e l'ora del login.
In ogni pagina che richiede l'autenticazione controllo se il SessionID dell'utente è stato lagato nelle ultime 2 o 3 ore e consento o meno di visualizzare la pagina.
In questo modo non utilizzo variabili di sessione, che possono rompere le scatole con il nuovo Winwos Server 2003 e nemmeno i cookies che possono dare problemi con le restrizioni sulla privacy.
Togliendo ogni possibilità di intrusione di persone indesiderate, dato che la SessionID viene generata dal server.
Voi che ne dite?
Modificato da mrdog il 03 maggio 2005 00.54 -

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.