Ich pflege ein System in ASP gebaut.
Der Anmeldevorgang erfolgt in SSL. Das heißt, wenn der Benutzer auf "Login" klickt, werden sein Benutzername und sein Passwort sicher an den Server gesendet. Der Anmeldevorgang erzeugt ein Session-Objekt, das die ID des jetzt angemeldeten Benutzers ist.
Nach Abschluss des Anmeldevorgangs leitet die Seite den Browser auf eine nicht sichere Seite weiter. Diese Seite versucht, auf das ID-Sitzungsobjekt zuzugreifen.
Bis letzte Woche hat das gut funktioniert. Unser System wurde auf IIS 6.0 ausgeführt, und die nicht sichere Seite konnte auf dieses Secure ID Session-Objekt zugreifen. Nach dem Wechsel zu IIS7.5 wurde dieses unvermeidbare Sicherheitsloch jedoch geschlossen (oder zumindest vermute ich). Die nicht sichere Seite kann nicht mehr auf das Secure ID Session-Objekt zugreifen.
Der Zugriff auf das Objekt erfolgt einfach so:
string ID = Session(SESSION_USER_ID)
nur um Dinge zu überprüfen, habe ich versucht, von den Sicheren Login-Seiten auf ein nicht sicheres Session-Objekt zuzugreifen - dies ist ebenfalls fehlgeschlagen.
Gibt es eine Möglichkeit, auf ein Secure Session-Objekt von einer nicht sicheren Seite zuzugreifen?
Übrigens, ich habe mich wahrscheinlich mit einigen der Begriffe hier irrt, aber ich denke, das Szenario ist mehr oder weniger klar. Bitte sagen Sie mir, wenn das nicht der Fall ist.
Antworten:
1 für die Antwort № 1Ich bin schon früher auf dieses Problem gestoßen, ich bin gelandetUmgehung durch, beim Wechsel in oder aus SSL, Aufruf einer Funktion, die die Sitzungsvariablen in Cookies schreibt und dann von den Cookies in die SSL-Sitzungsvariablen zurückliest.