Wie sieht es da mit Session-Variablen aus?
-----Urspr�ngliche Nachricht----- Von: Claudius Ceteras [mailto:[EMAIL PROTECTED]] Gesendet: Freitag, 16. November 2001 15:28 An: AspGerman Kaffeehaus Betreff: [aspdecoffeehouse] RE: [aspdecoffeehouse] *Panik* - Cookies f�lschen???? > > > Ich habe ein Problem mit einem meiner Web-Projekte. > > Die Site ist grunds�tzlich so aufgebaut, da� jede ASP_Seite mit > <%If Request.Cookies("user")("login") <> "ok" then > response.redirect "logon.asp" > End IF > If Request.Cookies("user")("ReadThis") <> "R" then > response.redirect "nichtberechtigt.asp" > End IF > %> > > Also - wenn eine Seite aufgerufen wird, ohne eingeloggt zu sein --> > Loginseite > Wenn zwar eingeloggt, aber nicht ausreichend Berechtigung --> > Fehlermeldung > > Nun, soweit, so gut. > Das Login ber�cksichtigt �brigens, da� keine eingaben wie > ' OR '1=1 > eingegeben werden k�nnen. > > Sache ist nun, da� jemand behauptet, "alle Daten auch ohne > Passwort einsehen > zu k�nnen" - jedoch nicht bereit ist, zu verraten, wie das geht. > Ich habe nun alle Logfiles durchgeackert, und einigen Zugriffen auf > "nichtberechtigt.asp" nichts komisches entdecken k�nnen. > > Das einzige, was ich mich jetzt frage ist, ob es irgendwie > m�glich ist, > Daten in den Cookies so zu �ndern, da� jemand als User beispielsweise > "Admin" eintragen k�nnte? > Nat�rlich ist das m�glich.... Sicherheits-Konzepte, die Berechtigungs-Daten IN Cookies specihern verdienen den Namen nicht... Claudius | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
