Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

fabiosc80

Sistema de Login "Seguro"

Por , em ASP Clássico

Recommended Posts

Mário Monteiro    179

Mário Monteiro
Postado

eu gosto de fazer ambas

Compartilhar este post

Link para o post
Compartilhar em outros sites

Marcelo Barcellos    0

Marcelo Barcellos
Postado

Fabio.Validações no JS inibem processamento desnecessário. Pois o proprio CLIENT se responsabiliza pelo processamento das validações em JS.Entretanto, não se recomenda fazer só em JS, pois é fácil de ser burlado.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Mário Monteiro    179

Mário Monteiro
Postado

Mas Mario,

Fazendo pelo ASP existe a nescessidade de fazer no JS?

certo o ASP resolve a parada mas o JS eh na hora que da os avisos então se o cara fizer tudo que o JS pede ele ira mais rapido na hora do ASP se não fizer o ASP trabalha

 

eh o que o marcelo disse em seguida

 

 

Fabio.

Validações no JS inibem processamento desnecessário. Pois o proprio CLIENT se responsabiliza pelo processamento das validações em JS.

 

Entretanto, não se recomenda fazer só em JS, pois é fácil de ser burlado.

Compartilhar este post

Link para o post
Compartilhar em outros sites

ultra    0

ultra
Postado

fabiosc80 o SSL é um certificado q a empresa emite, garantindo q o seu site terá uma porta segura para conexão direta ao cliente (geralmente é a 443)É aquele https q fica no seu browser, e serve praq algum hacker não consiga infiltrar na conexão q você está tendo com a loja, e assim fazer compras no seu nome ou pegar alguma senha... as empresas dão o certificado se você pagar tal valor anual, e você terá de adaptar seu servidor pra issoIMPORTANTE: não pense q com esse certificado você está livre de SQL Injections ou coisas desse tipo. Não confunda ! Uma coisa não tem nada a ver com a outra ! você pode ter o SSL, e ao mesmo tempo seu site pode ter o sistema de login mais podre do Brasil...... SSL é uma porta segura, o código ASP é independente[]'s

Compartilhar este post

Link para o post
Compartilhar em outros sites

fabiosc80    0

fabiosc80
Postado

Sim Ultra,

 

MAs eu quis dizer que vou fazer os bloqueios alem de ter apenas essa porta segura com o SSL.

Por isso quero o maximo de informações possíveis sobre segurança.

 

 

 

 

fabiosc80 o SSL é um certificado q a empresa emite, garantindo q o seu site terá uma porta segura para conexão direta ao cliente (geralmente é a 443)

 

É aquele https q fica no seu browser, e serve praq algum hacker não consiga infiltrar na conexão q você está tendo com a loja, e assim fazer compras no seu nome ou pegar alguma senha... as empresas dão o certificado se você pagar tal valor anual, e você terá de adaptar seu servidor pra isso

 

IMPORTANTE: não pense q com esse certificado você está livre de SQL Injections ou coisas desse tipo. Não confunda ! Uma coisa não tem nada a ver com a outra ! você pode ter o SSL, e ao mesmo tempo seu site pode ter o sistema de login mais podre do Brasil...... SSL é uma porta segura, o código ASP é independente

 

[]'s

<{POST_SNAPBACK}>

Compartilhar este post

Link para o post
Compartilhar em outros sites

ultra    0

ultra
Postado

Ah tá, achei q você não entendesse como funciona o SSLDe restante, as dicas de segurança q você precisa no seu login estão no artigo q o Marcelo Barcellos postou... lê, pq cedo ou tarde você vai precisar saber disso[]'s

Compartilhar este post

Link para o post
Compartilhar em outros sites

Mr Crowley    0

Mr Crowley
Postado

beleza cara...um meio de você testar o seu sistema e atraves do program Web Stress, é da microsoft, porem é livre...muito bom para fazer testes...de seleciono o numeros de usuarioa que vao acessar o teste, tipos de maquis e tudo mais por um certo tempo, apost terminar ele te faz um relatorio sobre o desempenho, erros e tudo mais possivel.....nao tenho o link mais você encontra na www.microsoft.com.brwww.technetbrasil.com.brou qualquer coisa me manda uma MP se eu demorar pra responder...falow t+

Compartilhar este post

Link para o post
Compartilhar em outros sites

fabiosc80    0

fabiosc80
Postado

beleza...

 

Vou dar uma olhada.

 

 

quote=Mr Crowley,Aug 15 2005, 10:54 AM]

beleza cara...

um meio de você testar o seu sistema e atraves do program Web Stress, é da microsoft, porem é livre...muito bom para fazer testes...de seleciono o numeros de usuarioa que vao acessar o teste, tipos de maquis e tudo mais por um certo tempo, apost terminar ele te faz um relatorio sobre o desempenho, erros e tudo mais possivel.....

 

nao tenho o link mais você encontra na

www.microsoft.com.br

www.technetbrasil.com.br

 

ou qualquer coisa me manda uma MP se eu demorar pra responder...

 

falow t+

<{POST_SNAPBACK}>

Compartilhar este post

Link para o post
Compartilhar em outros sites

Inside    2

Inside
Postado

Existe algo em ASP que tipo assim:Se não for número então redirecione para a página tal?Ex.: if not variavel = number thenresponse.redirect "login.asp"elseSelect e talend if

Compartilhar este post

Link para o post
Compartilhar em outros sites

Salgado    4

Salgado
Postado

Existe:

IsNumeric, IsDate eles fazem o teste se é numero ou Data.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Inside    2

Inside
Postado

Desculpe o vacilo ai salgado,eu já conhecia esta e inclusive utilizo em alguns sistema mas é que são tantos códigos.Mas o X da questão é que tenho implantei num sistema de login o código de segurança. Este sistema só usa número para identificação e ocorria que se eu digitasse algum texto apresentava erro.Isto também serve como toque para todos.Outra coisa é que este código IsNumeric também previne o SQLInjection caso o login utilize algum campo número. Como é o meu caso.Pois no meu sistema o usuário é um número que corresponde a matrícula do aluno.Sua dica mesmo assim ajudou bastatnte, estava esquecendo do IsNumeric.

Compartilhar este post

Link para o post
Compartilhar em outros sites

fabiosc80    0

fabiosc80
Postado

Mas me respondam uma coisa.É possivel fazer um sistema a prova de invasão???O sistema que vou fazer aqui terá 4 niveis de acesso. Alias foi pedido para mim que pelo banco de dados o Admistrador possa incluir outros niveis de acesso.Isso é possivel?Como eu faria isso?PS: O Banco de Dados será em Access

Compartilhar este post

Link para o post
Compartilhar em outros sites

Mário Monteiro    179

Mário Monteiro
Postado

é possivel simdesde que você programe estas possibilidadesno banco você cria os niveis e o que cada um pode fazereste o que cada um pode fazer deve estar claro no dbtipo pode alterar pode ler pode excluircada nivel tem um ou mais coisas marcados tome cuidado pra não ter dois niveis diferentes com o mesmo acesso que isso vai funcionar mais não faz sentidoai na tabela de usaurios você define o seu nivele nas paginas você faz permite fazer apenas o que a tabela de nivil mostrar que ele pode fazer

Compartilhar este post

Link para o post
Compartilhar em outros sites

Mário Monteiro    179

Mário Monteiro
Postado

Mario

 

só me diz uma coisa que você não me respondeu.

 

É possivel fazer um sistema a prova de invasão???

cara sempre fica furos, voce pode dificultar o maximo principalmente sql injections e usando um server com conexao segura (SSL) mas 100% seguro sei não

Compartilhar este post

Link para o post
Compartilhar em outros sites

fabiosc80    0

fabiosc80
Postado

Mario,

 

esses sao os unicos caracteres e palavras que não se pode ter na hora de digitar no login?????

 

Ou tem mais algum.

 

<%

login = request.Form("login")

login = replace(login,"'","''")

login = replace(login,"#","''")

login = replace(login,"$","''")

login = replace(login,"%","''")

login = replace(login,"¨","''")

login = replace(login,"&","''")

login = replace(login,"'or'1'='1'","''")

login = replace(login,"--","''")

login = replace(login,"insert","''")

login = replace(login,"drop","''")

login = replace(login,"delet","''")

login = replace(login,"xp_","''")

login = replace(login,"select","''")

login = replace(login,"*","''")

%>

 

Alias eu utilizo esse tipo aqui de abertura de Banco de Dados Abaixo:

Eu jogo num arquivo chamado conexao.asp e chamo por include.

Queria saber se é seguro e se não for que tipo de abertura devo fazer e como fazer.

 

<%sub AbreBanco()           SET BC = Server.CreateObject("ADODB.Connection")     BC.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath("banco.mdb")end sub  sub FechaBanco()     BC.close     Set BC =nothingend sub%>
Me responda uma coisa, eu disse que utilizo esse sistema de login aqui abaixo:

Queria saber se eu colocar a Proteção de SQLInjection e mais algumas proteções se ele pode continuar sendo utilizado.

 

<!--#include file="conexao.asp"--><%'Recuperando os dadosDados = request("Dados")Total = request("Total")Session("Email") = Replace(request("Email"),"'","")Session("Senha")   = Replace(request("Senha"),"'","")If Session("Email") = Empty Then   Session("mensagem") = "O campo Email é obrigatório !"   Response.Redirect("check.asp")End IFIf Session("Senha") = Empty Then   Session("mensagem") = "O campo SENHA é obrigatório !"   Response.Redirect("check.asp")End IFDim BC,TB,SQAbreBancoSQ = "SELECT * FROM Clientes WHERE Email = '" & Session("Email") & "' and Senha = '" & Session("Senha") & "'"SET TB = BC.Execute(SQ)IF TB.EOF THEN   Session("mensagem") = "Email e SENHA inválidos !"   FechaBanco   Response.Redirect("check.asp")Elsesession("Cod2") = TB("CodCliente")FechaBancoResponse.Redirect("formaentrega.asp?cod="&Dados&"&Cod2="&Total)End IF%>
Bom Mario acho que por enquanto sao essas as dúvidas.

Como você deve estar percebendo o site vai ter muito acesso (vai ser um dos maiores do Brasil) e muita gente vai tentar burlar a senha.

 

Alias o sistema de senha vai ter que ser em sistema de geração automatica quando o Cliente se cadastrar no site.

 

Abraços

 

 

cara sempre fica furos, voce pode dificultar o maximo principalmente sql injections e usando um server com conexao segura (SSL) mas 100% seguro sei não

<{POST_SNAPBACK}>

Compartilhar este post

Link para o post
Compartilhar em outros sites

Mário Monteiro    179

Mário Monteiro
Postado

esses sao os unicos caracteres e palavras que não se pode ter na hora de digitar no login?????

ta de bom tamanho se colocar mais coisa ai não sobrar nenhum login pro cara escolher

Alias eu utilizo esse tipo aqui de abertura de Banco de Dados Abaixo:Eu jogo num arquivo chamado conexao.asp e chamo por include.Queria saber se é seguro e se não for que tipo de abertura devo fazer e como fazer.

normal, a segunça depende da forma como você manipula o DB principalmente quanto as SQL Injections

Me responda uma coisa, eu disse que utilizo esse sistema de login aqui abaixo:Queria saber se eu colocar a Proteção de SQLInjection e mais algumas proteções se ele pode continuar sendo utilizado.

pode sim fabio

Bom Mario acho que por enquanto sao essas as dúvidas.Como você deve estar percebendo o site vai ter muito acesso (vai ser um dos maiores do Brasil) e muita gente vai tentar burlar a senha.

me diz ai Fabio, seu site será muito visitado então seria bom voce migrar para uma base de dados mais robusta que o access

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos ASP Clássico
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito