none
asp Anwendung erstellt html Datei mit Infos RRS feed

  • Frage

  • Hallo allerseits,

    habe wiedermal ein Problem. Ich habe eine ASP.NET Website mit Flashobjekten.
    Prinzipiell funktioniert das ganze recht gut allerdings bin ich durch Zufall auf ein
    Sicherheitsproblem gestoßen.
    Es wird im Verzeichniss "Temporary Internet Files" eine HTML-Datei mit folgendem Namen angelegt:

    index.aspx?Logging=LogIn°Username°geheim

    Der Parameter wrden von Flash übergeben und von ASP die Anmeldeinformation geprüft.
    Wie kann ich das unetrbinden das die html-Datei erstellt wird.

    Des Weiteren wird de ASP-Seite mehrmals augerufen. Was widerum nicht von Flash sein sollte
    da von dort nur die aragen geschickt weden.
    Meine Frage dazu, kann man, wenn man einen Requst erhalten hat weitere Request blocken oder
    ähnliches.

    Wäre für jee Hilfe sehr dankbar
    Lg StringRise

    Freitag, 20. August 2010 08:20

Antworten

Alle Antworten

  • Hi,
    Es wird im Verzeichniss "Temporary Internet Files" eine HTML-Datei mit folgendem Namen angelegt:

    index.aspx?Logging=LogIn°Username°geheim

    Der Parameter wrden von Flash übergeben und von ASP die Anmeldeinformation geprüft.
    Wie kann ich das unetrbinden das die html-Datei erstellt wird.

    gar nicht, da das mit ASP.NET gar nichts zu tun hat. Das ist allein Sache des Browsers. Du könntest natürlich versuchen, Caching für diese Seite zu verhindern aber ob das hilft, kann ich dir nicht sagen.

    Sinnvoller wäre es ggfs., wenn das Flashdingens die Parameter nicht per GET (also als URL Parameter) sondern per POST übergeben würde. In dem Fall würde man diese zumindest nicht im Dateinamen sehen.

    Des Weiteren wird de ASP-Seite mehrmals augerufen. Was widerum nicht von Flash sein sollte
    da von dort nur die aragen geschickt weden.
    Meine Frage dazu, kann man, wenn man einen Requst erhalten hat weitere Request blocken oder
    ähnliches.

    Welchen Sinn sollte das haben?

    BTW: Was sind "aragen"?

     


    Gruß, Stefan
    Microsoft MVP - Visual Developer ASP/ASP.NET
    http://www.asp-solutions.de/ - Consulting, Development
    http://www.aspnetzone.de/ - ASP.NET Zone, die ASP.NET Community
    Freitag, 20. August 2010 10:03
    Moderator
  • Hallo S.,

    nutze hier die "HTTP POST" Argumentübertragung:

    [Saving dynamic data from Flash]
    http://www.flash-db.com/Tutorials/saving/savingData.php

    [HTTP/1.1: Security Considerations]
    http://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html
          -> Authors of services which use the HTTP protocol
          SHOULD NOT use GET based forms for the submission of sensitive data [...]


    ciao Frank
    • Als Antwort markiert String.Rise Donnerstag, 26. August 2010 13:20
    Samstag, 21. August 2010 06:39
  • @ Stefan bzgl.
    [Quote]
    Welchen Sinn sollte das haben?
    BTW: Was sind "aragen"?
    [/Quote]

    Das sollte "Anfragen" heissen. Anscheinend waren diefinger wieder mal schneller als die Gedanken.
    Und der Sinn wäre das weitere Anfragen vom gleichen User ignoriert weden.


    @Frank
    Danke für die links

     

    Lg String.Rise

    Dienstag, 24. August 2010 05:45
  • Hallo S.,

          > @Frank: Danke für die links

    dann vermute ich mal, dass Du es damit hinbekommen hast?


    ciao Frank
    Dienstag, 24. August 2010 14:19
  • ... ne, nicht wirklich.
    Sobald ich die anfrage mit POST sende kann ich über Flash auf keine Rückantwort mehr reagieren.
    Daher bin ich noch am tüfteln und testen usw.

    Lg
    String.Rise

    Donnerstag, 26. August 2010 06:08
  • Hallo allerseits,

    es ist geschafft. Und übrigens ich auch.
    Die "POST" Methode war schon die richtige Lösung. Ich habe lediglich auf die falschen parameter geprüft.
    Was für eine Blamage.
    Ich bedanke mich trotzdem für den Tipp und Links.

    Lg
    String.Rise

    Donnerstag, 26. August 2010 13:20