>
>
> Ich habe ein Problem mit einem meiner Web-Projekte.
>
> Die Site ist grunds�tzlich so aufgebaut, da� jede ASP_Seite mit
> <%If Request.Cookies("user")("login") <> "ok" then
> response.redirect "logon.asp"
> End IF
> If Request.Cookies("user")("ReadThis") <> "R" then
> response.redirect "nichtberechtigt.asp"
> End IF
> %>
>
> Also - wenn eine Seite aufgerufen wird, ohne eingeloggt zu sein -->
> Loginseite
> Wenn zwar eingeloggt, aber nicht ausreichend Berechtigung -->
> Fehlermeldung
>
> Nun, soweit, so gut.
> Das Login ber�cksichtigt �brigens, da� keine eingaben wie
> ' OR '1=1
> eingegeben werden k�nnen.
>
> Sache ist nun, da� jemand behauptet, "alle Daten auch ohne
> Passwort einsehen
> zu k�nnen" - jedoch nicht bereit ist, zu verraten, wie das geht.
> Ich habe nun alle Logfiles durchgeackert, und einigen Zugriffen auf
> "nichtberechtigt.asp" nichts komisches entdecken k�nnen.
>
> Das einzige, was ich mich jetzt frage ist, ob es irgendwie
> m�glich ist,
> Daten in den Cookies so zu �ndern, da� jemand als User beispielsweise
> "Admin" eintragen k�nnte?
>
Nat�rlich ist das m�glich....
Sicherheits-Konzepte, die Berechtigungs-Daten IN Cookies specihern
verdienen den Namen nicht...
Claudius
| [aspdecoffeehouse] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
