Segurança no com dados de formulários usando ASP

[FNMoura 0]

Caros Colegas,

Sou Analista de Negócios e minha experiência com escovação de bits é pouca. Decidi programar em ASP, apesar de vários colegas me recomendarem outras linguagens, e já comecei a encontrar problemas quanto a segurança na transferência de informações pela rede.

 

Vou abordar dois temas que julgo que sejam iniciais:

 

1- Variável de Sessão: uma vez autenticado na aplicação, por login e senha, uso uma variável de sessão para inibir que outra pessoa acesse o sistema através do histório do navegador (sem passar pela etapa de autenticação). Porém, o código HTML gerado, caso seja analizado, contem o valor da variável de sessão que habilita o acesso ao sistema. Por exemplo: autenticado=sim (informa que o usuário está autenticado) ou, autenticado=nao (informa que o usuário não está autenticado). Verifiquei que o Fire Fox permite manipular scripts e receio que permita alterar o valor da variável "autenticado". Minha dúvida reside em saber se há um método mais seguro. Li que há uma variável que relaciona um número específico para a sessão aberta, esta seria uma opção?

 

2- Quando temos um formulário montado em HTML e submetemos o mesmo para o servidor com os campos preenchidos, essas informações trafegam pela rede sem estar criptografadas. Caso este tráfego seja capturado por pessoas mal-intencionadas, as informações podem ser usadas de forma ilícita. Como seria possível criptografar o conteúdo dos campos dos formulários antes de serem submetidos pela rede? Essa codificação ficaria por conta de scripts executados no cliente?

 

Caso este assunto não seja totalmente relacionado a ASP, peço desculpas pela mistura nos temas.

 

Ficarei na expectativa de desenvolvermos mais um tópico produtivo.

 

Um forte abraço a todos. http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

[Ted k' 126]

você pode criptografar dados através do md5, no laboratório de script tem um tópico dessa discurssão!

[jrcardozo 4]

existem algumas técnicas:nunca usar nomes de seção logicas, por exempliosession("usuario"),session("id"),session("user") e por ai vaicriar uma sessão do tiposession("jpf_524d.dllj_dllp96523665o")usar cookies em conjunto com sessions verificando se o valor em cada uma é verdadeirousar no value da sessão alguma criptografiase possivel implementar certificado sslquanto as formas de "invasão" desconheço, mas certamente exista algo vulneravel que o navegador apresenta, principalmente no FF pois ao meu ver é o melhor navegador no momento

[FNMoura 0]

Caro Ted, Por hora vou ler sobre o MD5 e ver o quanto ele me atende. Te agradeço pela orientação.Prezado Jonathn, Julgo sua dica muito relevante, pois a inexperiência em montar códigos pode realmente induzir ao uso de variáveis com nomes óbvios.Att.fnmoura