質問編集履歴
1
質問内容の変更
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,34 +1,21 @@
|
|
|
1
1
|
###知りたいこと
|
|
2
|
-
asp.netで
|
|
2
|
+
asp.netで「Web Forms」を使用しています。
|
|
3
|
+
前任者が作成したものを解析しています。不備があったら申し訳ありません。
|
|
3
4
|
|
|
4
|
-
|
|
5
|
+
認証でフォーム認証を使用していますが、各画面でSessionの値を確認していました。
|
|
5
|
-
|
|
6
|
+
フォーム認証の意味があるのかわからなかったので、この方法がスタンダードなのか教えてください。
|
|
6
|
-
定石はまとまっていないのでしょうか?
|
|
7
|
-
(※セキュリティを考慮した定石が知りたいです。セッションハイジャックなど。)
|
|
8
7
|
|
|
9
|
-
|
|
8
|
+
フォーム認証しているのでセッションでのログイン確認は不要では?と思った次第です。
|
|
10
|
-
ということでしょうか?
|
|
11
9
|
|
|
12
|
-
またIISのログ等で同じセッションが使用されたかどうかなども確認できないのでしょうか?
|
|
13
|
-
参考サイト等、教えていただきたいです。
|
|
14
|
-
|
|
15
10
|
###該当のソースコード
|
|
16
11
|
```ASP.NET
|
|
17
|
-
Dim ck As HttpCookie = Nothing
|
|
18
|
-
'
|
|
12
|
+
'** ログインチェック **
|
|
19
|
-
Session.Abandon()
|
|
20
|
-
' cookie削除
|
|
21
|
-
|
|
13
|
+
If Not ChkSession(clsSession.USERNO) Then
|
|
22
|
-
|
|
14
|
+
Call RedirectPage(HttpRootUrl)
|
|
23
|
-
|
|
24
|
-
|
|
15
|
+
End If
|
|
25
16
|
```
|
|
26
17
|
|
|
27
18
|
###補足情報(言語/FW/ツール等のバージョンなど)
|
|
28
19
|
asp.net 2005 (.NET framework2.0)
|
|
29
20
|
SQL Server 2008 R2
|
|
30
|
-
IIS 7
|
|
21
|
+
IIS 7
|
|
31
|
-
|
|
32
|
-
###参考サイト
|
|
33
|
-
http://d.hatena.ne.jp/teracc/20100424#1272092128
|
|
34
|
-
http://d.hatena.ne.jp/atsukanrock/20100728/1280305074
|