質問編集履歴

1

質問内容の変更

2018/02/26 15:19

投稿

y-haga
y-haga

スコア23

test CHANGED
File without changes
test CHANGED
@@ -1,28 +1,18 @@
1
1
  ###知りたいこと
2
2
 
3
- asp.netで作成したサイトにて、セッションを使用した認証の定石がいまいちわかりません
3
+ asp.netで「Web Forms」を使用しいま
4
+
5
+ 前任者が作成したものを解析しています。不備があったら申し訳ありません。
4
6
 
5
7
 
6
8
 
7
- 調べたところだとsession_abandon、Cookieを削除て新に生成することで
9
+ 認証でフォーム認証を使用していますが各画面でSessionの値確認してした
8
10
 
9
- セッション再発行可能とわかりましたが、そもそもasp.netでセッショを使う場合
11
+ フォーム認証意味あるのかわからなかっので、この方法スタダードなか教えてください。
10
-
11
- 定石はまとまっていないのでしょうか?
12
-
13
- (※セキュリティを考慮した定石が知りたいです。セッションハイジャックなど。)
14
12
 
15
13
 
16
14
 
17
- それとも脆弱性があるのでフォーム認証を使用することが定石で、セッション自体使用しない方がいい、
18
-
19
- ということでしょうか?
20
-
21
-
22
-
23
- またIISログ等同じセッションが使用されたかどうかなども確認できないのしょうか?
15
+ フォーム認証しているのでセッションでのログイン確認は不要は?と思った次第す。
24
-
25
- 参考サイト等、教えていただきたいです。
26
16
 
27
17
 
28
18
 
@@ -30,21 +20,13 @@
30
20
 
31
21
  ```ASP.NET
32
22
 
33
- Dim ck As HttpCookie = Nothing
23
+ '** ログインチェック **
34
24
 
35
- ' セッション初期化
25
+ If Not ChkSession(clsSession.USERNO) Then
36
26
 
37
- Session.Abandon()
27
+ Call RedirectPage(HttpRootUrl)
38
28
 
39
- ' cookie削除
29
+ End If
40
-
41
- ck = New HttpCookie("ASP.NET_SessionId", "")
42
-
43
- My.Response.Cookies.Add(ck)
44
-
45
-
46
-
47
- ' 次回リクエスト時に新しいセッションが生成されるはず。。。
48
30
 
49
31
  ```
50
32
 
@@ -57,11 +39,3 @@
57
39
  SQL Server 2008 R2
58
40
 
59
41
  IIS 7
60
-
61
-
62
-
63
- ###参考サイト
64
-
65
- http://d.hatena.ne.jp/teracc/20100424#1272092128
66
-
67
- http://d.hatena.ne.jp/atsukanrock/20100728/1280305074