> > Wie? Automatisch? Gibst du ne userID im querystring mit? > Ist das kein > > Sicherheitsproblem? > > Ich �bergebe die SessionID der Hauptseite an eine > Redirect-Page, in der ich die SessionID in die Datenbank > schreibe und anschlie�end auf den SSL-Server wechsel (Session > ID wieder im QueryString) - da schaue ich in der DB nach, ob > die ID vorhanden ist - wenn ja, hole ich mir die > mitgespeicherte UserID und setze die Sessions, und l�sche > anschlie�end den Datensatz - und leite die Page auf sich > selbst bezogen per Redirect weiter, nur ohne die SessionID im > QueryString. > > Damit ist es nach meinen �berlegungen eigentlich unm�glich > von au�en ins System zu kommen, da a) die ID nach jedem > Seitenwechsel aus der DB ge- l�scht wird und b) der User > durch die Redirects die SID auch nie zu gesicht bekommt...
Nun... Redirects bringen nichts.. Wenn ich irgendwo einbrechen wollen w�rde, w�rde ich ggf. mit tools arbeiten, die mir jede Kommunikation zwischen Server und Client anzeigt und mich ab�ndern l�sst... Die Idee ist gut, aber ich sehe schon ein Problem... Denn die SessionID, die man �ber Session.SessionID bekommt ist nicht das selbe, dass in den Cookies steckt... Im Cookie steckt eine zuf�llige (Hex-)Zahl, die nicht eratbar ist(gehe mal auf die Seite und gib in der Adresszeile javascript:alert(document.cookie) ein), aber Session-SessionID ist eine fortlaufende Nummer... D.h. ich kann aus meiner Zahl im Querystring auf den vorherigen User(meine Zahl-1) etc. schliessen... Ich w�rde eher eine zuf�llig generierte Buchstaben/Zahlen-Folge zur wiedererkennung benutzen... > > Also prinzipiell geht es, wenn Du clientseitig das sessioncookie > > extrahierst und dan die andere seite schickst... > > Was meinst du damit? Damit Du eine Session beenden kannst(Session.Abandon), musst der Code sich wirklich in der Session befinden... Damit Du in die Session kommst, musst der Browser die entsprechende SessionID(die clientseitige, nicht die Nummer aus Session.SessionID) als Cookie �bergeben.. Die bekommst Du normalerweise aber nur clientseitig, weil sie serverseitig aus der cookies-Collection ausgeblendet wird... Claudius _______________________________________________ Coffeehouse Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/coffeehouse
