המטרה: זכירת המשתמש ממחשב זה. כלומר, במקרה של סימון תיבת checkbox בטופס ההתחברות, המשתמש ייזכר לעולם ועד (או לפחות עד תום תאריך התפוגה שאני קובע) במחשב הספציפי המסוים.



הבעיה:

session נמחק.



תיאור:



בטופס login.asp (טופס ההתחברות) נוספה תיבת סימון:

קוד:

<input type="checkbox" name="remember" value="remember"><small> זכור אותי ממחשב זה</small>

הטופס הזה הולך לenter.asp, ושם כתבתי כך (גם תחת ההנחה שזהו מנהל, וגם תחת ההנחה שזהו משתמש רשום רגיל):

קוד:

if request.form("remember")="remember" then
response.cookies("log")="true"
response.cookies("log").Expires="2/6/2006"
else
response.cookies("log")="true"
end if

העוגייה LOG מעידה שהתחברת.



אחרי אישור ההתחברות, מופנה המשתמש לדף הבית - index.asp, המורכב ממסגרות. מסגרת אחת היא box.asp, וזה תוכנה הרלוונטי:



קוד:

if request.cookies("log")<>"true" then
response.write "<a href=../login.asp target=main> התחבר </a>"
else
if Session("admin")="true" then
response.write "שלום מנהל" & " | " & "<a href=../abandon.asp target=_top> התנתק </a> <br>"
response.write "<a href=../admin.asp target=_blank> לדף הניהול </a>"
else
response.write " שלום," & " " & Session("user") &" | " & "<a href=../abandon.asp target=_top> התנתק </a><br>"
linkE="../edit.asp?name="&Session("user")&""
response.write "<a href='"&linkE&"' target=main> ערוך פרטים </a>"
end if
end if

שמירת העוגייה LOG לאורך זמן עובדת יפה, כלומר גם אחרי סגירת חלון הדפדפן והפעלתו מחדש (במחשב מבית הספר) זה עבד יפה מאוד, והמשתמש נשמר.

אממה? הסשן לא נשמר, אז נכתב בbox.asp - "שלום, | התנתק <BR> ערוך פרטים"

(כמובן שלא נכתב BR אלא ירידת שורה)



יש למישהו פתרון? המורה שלי אומרת שסשן לעולם ייסגר עם סגירת החלון... אז אולי אפשר להעביר את סשן לתוך עוגייה נוספת ששמה USER... אין לי מושג
[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.webwiz.org.il/forums/smileys/smiley11.gif]




תודה מראש על הכל
[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.webwiz.org.il/forums/smileys/smiley1.gif]


וסליחה מראש על המגילה
[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.webwiz.org.il/forums/smileys/smiley9.gif]

http://www.w3schools.com/asp/asp_cookies.asp

קראתי את המדריך כעת, אבל אני לא מבין משם איך זה יכול לסייע לבעיה שלי.

בעקרון אתה צריך לבדוק:
- האם קיים ה-Session בעת קריאה לדף.
---- אם כן, אתה ממשיך בטעינת הדף באופן רגיל.
---- אם לא, אתה בודק האם קיימת עוגיה אצל המשתמש עם שם משתמש וסיסמה (כמובן שהסיסמה תהיה מוצפנת).
-------- אם קיימות העוגיות, אתה מצליב את הנתונים שבעוגיה עם הנתונים שבמסד.
------------ אם נמצאת הרשומה, אתה יוצר את ה-Session.
------------ אם לא נמצאת הרשומה, אתה שולח את המשתמש להרשם (או ממשיך בטעינת הדף בהתאם לאורח)
-------- אם לא קיימת עוגיה, אתה שולח את המשתמש להרשם (או ממשיך בטעינת הדף בהתאם לאורח)

אוקיי, זה די נראה לי. אני מנסה כרגע לכתוב את הקוד. אם אתייאש ולא אצליח, אעלה לכאן את הקוד.

טוב, קורה לי משהו מוזר... זה הקוד שכתבתי, אין לי מושג מה לא טוב בו.

קוד:

 





sq="select password from registration where nickname='"&request.cookies("user")&"'"
 
if Session("user")<>"" then
if Session("user")="מנהל" then
response.write שלום מנהל | התנתק | לדף הניהול
else
	response.write שלום session user |התנתק | ערוך פרטים 
end if
else
if request.cookies("user")<>"" and request.cookies("pass")<>"" then
	set R=con.execute(sq)
	if R.fields("password")=request.cookies("pass") then
	 Session("user")=R.fields("nickname")
	 if Session("user")="מנהל" then
		 response.write שלום מנהל | התנתק | לדף הניהול
	 else
	 response.write שלום session user |התנתק | ערוך פרטים 
	 end if
 
	end if
response.write קישור להתחברות
end if
end if

 

ולמה אתה עובד עם VB במקום עם שפה נורמלית?

טוב, כרגיל אצלי: כשמה שאני עוסק בו עובד סופסוף - משהו אחר משתבש.
אז כעת, עם כתיבת הקוד הנ"ל, זה עובד, אבל לחיצה על קישור התנתק לא מנתקת.

הקוד בדף הראשי:

קוד:

 
 if request.cookies("user")="" and request.cookies("pass")="" then
  response.write "<center> <small> <a href=../login.asp target=main> התחבר </a> </small> </center> <p>"
 else
  Session("user")=request.cookies("user")
	if request.cookies("user")="מנהל" then
	   response.write "<small> <b> שלום מנהל" & " | " & "</b> <a href=../abandon.asp target=_top> התנתק </a> <br> <center> <a href=../admin.asp target=_blank> לדף הניהול </a> </center> </small> <p>"
	else
	 response.write "<small> <b> שלום," & " " & Session("user") &" | " & "</b> <a href=../abandon.asp target=_top> התנתק </a> </small> <br>"
			linkE="../edit.asp?name="&Session("user")&""
			response.write "<a href='"&linkE&"' target=main> <center> <small> ערוך פרטים </center> </small> </a> <p>"			   
	end if
 end if 

הדף abandon.asp הוא כזה:

קוד:

 
<% Session.abandon
response.redirect "index.asp"
%> 

אז עם סימון תיבת הcheckbox העוגייה נשמרת עד לתאריך התפוגה שקבעתי.
אבל לחיצה על הקישור התנתק מחזירה אותי לindex בלי לעשות כלום, כי בעצם הסשן התנתק והעוגיות לא.

(וכמובן, תודה לכולם)

תודה לכולם, בינתיים יצרתי שלוש עוגיות - log,user,pass ואני די מתבלבל ביניהן בתנאים שבראש הדף הראשי.

המצב שלי כרגע: אם אני מתחבר ומבקש לזכור את עצמי, ההתנתק עובד.
אם אני סוגר את הדפדפן בעודי מחובר ונכנס שוב - הוא זוכר אותי
אבל אם אני מתנתק מהשם, סוגר את הדפדפן ונכנס שוב - הוא לא.

אני לא יודע ASP, אבל המערכת שלך לא מאובטחת בגרוש... אני בקלות פורץ אלייה..

למה אתה מתכוון ב"לא מאובטחת בגרוש"?

וזו לא מערכת, זה בסך הכול אתר קטן לבגרות.

יהיה נחמד מצדך אם תפרט לו איך בדיוק המערכת לא מאובטחת.

לא קראתי את הקוד אבל אני מניח שזה יהיה בעזרת sql injections (הזרקות SQL)

מה קשור?
זה בעזרת עוגיה.. שפשוט מכוונת על True


ועוד משהו, לפותח האשכול, תגיד למורה שלך שתחזיר את התעודה למקום שממנו היא קיבלה אותה ותבקש את הכסף - כי ASP, היא לא יודעת.

Session מתנהג בדיוק כמו כל Session אחר, הוא אומנם לא נמחק לאחר שהמשתמש סוגר את הדפדפן, אלא כשלא הייתה פעילות במשך 15 דקות בצד השרת.
פשוט כשאתה סוגר את הדפדפן, העוגיה של מזהה ה Session נמחקת וכשאתה פותח אותו מחדש נוצר אחד חדש ואז בSession הקודם אין פעילות והוא נמחק.
אז אם היא אמרה לך שסגירת חלון לא קשורה לSession, היא לא יודעת על מה היא מדברת - או שהגדרות השרת אצלכם הן אחרות.

אתה הבנת חלק ולא הבנת חלק אחר.
לגבי המורה שלי - זה בדיוק מה שאני אומר: session נמחק בעת סגירת החלון. ככה היא אומרת וככה אני אומר.
אבל פחות מעניין אותי על תולדות הsession, ויותר על התפעול המיידי. הנה שוב תמונת המצב:
זהו הקוד שמופיע באחת מהמסגרות של הדף הראשי. הוא העניין כרגע.

קוד:

  if request.cookies("user")="" and request.cookies("pass")="" then
  response.write "<center> <small> <a href=../login.asp target=main> התחבר </a> </small> </center> <p>"
 else
  Session("user")=request.cookies("user")
	if request.cookies("user")="מנהל" then
	   response.write "<small> <b> שלום מנהל" & " | " & "</b> <a href=../abandon.asp target=_top> התנתק </a> <br> <center> <a href=../admin.asp target=_blank> לדף הניהול </a> </center> </small> <p>"
	else
	 response.write "<small> <b> שלום," & " " & Session("user") &" | " & "</b> <a href=../abandon.asp target=_top> התנתק </a> </small> <br>"
			linkE="../edit.asp?name="&Session("user")&""
			response.write "<a href='"&linkE&"' target=main> <center> <small> ערוך פרטים </center> </small> </a> <p>"			   
	end if
 end if  

הקוד הזה ככלל עובד חלקית: הוא זוכר את הקוקי לתאריך התפוגה שהזנתי (30 יום), אבל אם יבוא משתמש אחר ויתחבר מאותו המחשב בלי לרצות שפרטיו ייזכרו - אזי בכניסה הבאה לאתר יופיע הקישור "התחבר", כי מה שעשיתי בבדיקת טופס ההתחברות הוא כזה:
אם ביקשת לזכור את פרטיך, נוצרות 3 עוגיות כשלכל אחת תאריך תפוגה לעוד 30 יום. אחרת - נוצרות 3 עוגיות בלי תאריך תפוגה (שתיסגרנה בעת סגירת הדפדפן).

בנוסף, עם הקוד הזה התנתקות לא עובדת לי, כי אני לא יודע איזו עוגייה צריך לנתק ואיך לשנות את הקוד הנ"ל בהתאם.

בדיוק בשביל זה יש לך Session ולא עוגיה.
את העוגיה תשמור לעוד שלושים יום, ורק אם אין Session מוגדר תבדוק אם קיימת עוגיה ותגדיר Session.
אומנם אפשר לעשות את ההפרדה הזו בין העוגיות, אבל אין טעם - ההפרדה הזו היא נוחה.

קודם כל, המון תודה!! סופסוף משהו שעובד (ב-90 אחוז) ושבנוסף אני מבין מה אני כותב בקוד שלו.

אז שוב, תמונת מצב:

הוא זוכר את המשתמש שלום שנקבעו לו עוגיות לשלושים יום.
הוא זוכר את המשתמש הזה גם אם המצב הוא כזה: המשתמש התחבר, בא משתמש אחר והתחבר במקומו, נסגר החלון, נפתח החלון מחדש.
שני אלה משמחים.

מה שעשיתי בקוד הוא כזה: אם ההתחברות מאושרת, בדקתי האם הוא רוצה שייזכר. אם הוא רוצה שייזכר, נוצרה עוגיית userR עם תאריך תפוגה. אם הוא לא רוצה, נוצרה user בלי תאריך תפוגה.

עכשיו השאלה היא לגבי ההתנתקות. איך אני יכול לבצע את ההתנתקות?
חשבתי אולי להשים שם (בabandon) ערך בסשן, ואם הוא קיים (בבדיקה בדף הראשי) אז להציג ישר התחבר - אבל אז נזכרתי, הרי אני מנתק שם את הסשן

תודה מראש!

יש לך כמה מצבים שמתחלקים:

התחברות
מבקשים ממשתמש את השם, הסיסמא ואופי החיבור (שמירה/ללא שמירה).

1. הגדרת Session של "משתמש פעיל" (עם כל ההגדרות שלו).
2. אם ורק אם רוצה להיזכר - הגדרת Cookie.

גלישה
כדי שנבין משהו, ושיתאים לפרופיל, אתה עובד רק עם Session בבדיקה אם יוזר מחובר או לא, ולא עם Cookie (תיכף יוסבר ותבין קצת יותר טוב).
בכל טעינה של עמוד אתה מבצע את הבדיקות הבאות:

1. האם מוגדר Session - דלג.
2. אם לא מוגדר Session - קרא מעוגיה את פרטי החיבור והגדר לתוך Session (מה שנותן לי תמונת מצב של האפשרות הראשונה).
3. הגדר מחדש Cookie לעוד 30 יום.

התנתקות
גם כאן חשוב להבין שכשיוזר רוצה להתנתק, הוא באמת רוצה להתנתק אז פשוט צריך למחוק את הכל.

1. מחיקת Session.
2. מחיקת Cookie.

זה לא אמור להיות כל כך מסובך.
מה שהמצב הנוכחי יוצר זה שבכל מקרה, אם Session אינו מוגדר - אני יודע בוודאות שהוא לא מחובר ואין לי מה לדאוג בקשר ל Cookie.
כמובן כאן נכנסים עוד כמה אלמנטים של אבטחה, כמו שמירה של פרטי החיבור בצורה מוצפנת וכו'.

אז אתה בעצם אומר שאם משתמש לוחץ על הקישור להתנתקות ומתנתק - אני לא צריך לאפשר לו כניסה אוטומטית מעתה והלאה?

אתה פשוט מוחק את העוגיה.
כי בפעם הבאה שהוא ירענן את העמוד הוא שוב פעם יתחבר - אז איפה פה ההתנתקות?
תחשוב על העוגיה בצורה כזו שהיא פשוט מחברת אותו אוטומטית - גם אם הוא לא מחובר.


ובפעם הבאה, אחרי שהוא יתנתק, יתחבר דרך הטופס המקורי ויבקש להיזכר - העוגייה שוב תוגדר מחדש.

י-ש :-)

זהו, עובד, על כל האפשרויות.
הייתי חייב לבצע התפשרות כלשהי ביעילות, אז ההתפשרות שנעשתה (לחיצה על התנתק תוביל לאי זכירה בעתיד) היא הכי הגיונית.

המון תודה לך

למי שדיבר על הגנת קוקיז - אחפש קבצים פה או באינטרנט או בפורומים נוספים, אני בטוח שאמצע. כל מיני מדריכים וכו', וכשאמצא את הנושא הזה אתעמק בו ואם הוא לא יהיה קשה מדי ליישום בפרק הזמן שנשאר - איישם.
אבל כמובן, תודה על העצה.

יש 2 דרכים.
אחת זה לבדוק כל פעם (מומלץ בעזרת פונקציה, או דף לאנקלד) אם המידע בעוגיות נכון, בעצם לעשות אותו תהליך כמו שעושים LogIn רק בעוגיות..

הדרך השניה זה לפתוח טבלה במסד נתונים בה יש Login ID, UserName ו- Pass.
שבעוגיה יש את ה- ID מוצפן...

זיוף עוגיות - הרבה יותר קל ממה שאתה חושב..

אולי ואולי לא. אני גם לא חושב, בכלל.

זה רק פרוייקט לבגרות. מאחר שלא עסקנו בכלל בהגנה מפני זיוף עוגיות, אני לא דואג.

אבל תודה על הדאגה.

דווקא אני חושב שכדאי לך.

זה שלא עסקתם בהגנה מזיוף עוגיות רק מחזק את זה, למה? בגלל שככה אתה מראה שאתה מבין את השפה, ושיש "Open mind", אני הייתי מוסיף על זה בונוס 5 נקודות.

אל תצפה ליותר מדי ממשרד החינוך.
המורים מבינים רק את מה שמדריכים אותם ללמד. לא יותר מזה.

זה שהם לומדים ASP מדבר בעד עצמו שאין ולא יהיה להם מושג קלוש באבטחה [כל עוד הם יחנקו עצמם בגומחה המייקרוסופטית).

איך אמר שימי: מי שמספיק טיפש לכתוב את האתר שלו ב-ASP לא חשוד יותר מדי על אבטחת מידע....

אני מכיר את ההתלהבות שיש סביב PHP. בעיקר עקב העובדה שמדובר בקוד פתוח, לי זה לא אומר הרבה. ישנם אנשים מומחים שמשתמשים ב-ASP כדי לבנות אפליקציות ואותו הדבר חל גם על PHP. אי אפשר לעשות הכללה שכזו. בסופו של דבר, רוב עניין האבטחה יושב על המתכנת.

אבל הנושא הזה נדון כבר יותר מדי פעמים ואני לא חושב שעוד פעם תעזור במשהו

אני לא מצפה להרבה, אבל מה רע בלהביא קצת יותר?
כן אפשר לבנות אתר סופר מאובטח ב- ASP.

ולישארל K:
אני חושב שהדעה של שימי דיי קיצונית...
אי-אפשר לעשות הכללה, תמיד יקפוץ המעצבן שיוצא דופן
ASP היא גם טכנולוגיה, ובישראל יש לה משקל רב, אי-אפשר להתעלם מזה (טוב נו, גם אי-אפשר להתעלם מזה ש-PHP יותר נפוצה מ- ASP ביחס לכל העולם... חיפוש של PHP בגוגל הניב 1,790,000,000 תוצאות, חיפוש ASP הניב 1,530,000,000 תוצאות, ואם מורידים את כל הקטעים של ASP sucks... ש.. חיש יותר ב-ASP יוצא של-ASP יש פחות ממיליארד...)
מה לעשות, מיקרוסופט "קנתה" את ישראל.. ואי-אפשר להגיד שכולם בישראל, שבונים אתרים, והם ב- ASP (ויש המון בישראל ) הוא דפוק.. מה שכן, יש נטייה קלה למפתחי ASP לפתח מערכת לא מאובטחת.. למה? תראה את הדוגמא פה, לא מלמדים אותם..

אבל בכל זאת זו רק תוכנית לימודים לשנה. מי שיילך להתמחות ולעסוק בנושא הזה, ודאי שילמד מעבר, גם בנושאי אבטחת מידע.

אבל אם אלה הדרישות שבחר משרד החינוך לדרוש בתום שנת לימודים של שנה אחת, מה נורא כל כך? הרי אף אחד לא הולך לבנות אתרים מקצועיים אחרי שנת לימודים תיכונית אחת.

זה לא נורא, לא הכרחי, אבל יכול להועיל.

שהמורה רואה תלמיד שעושה מעבר למה שלימדו אותו, זה מראה על כך שהוא הבין את השיעורים, מכיוון שזה בחינה, למה לא?.

אני לא ארחיב כאן מדוע המשפט הזה רחוק מלהיות סתמי או קיצוני (למרות שהוא לא תמיד נכון), אך רמת המודעות לאבטחת מידע של מפתחים בטכנולוגיות מייקרוסופטיות לא מתקרבת אף לרמת המודעות ובוודאי שלא לידע שיש למפתחים ומתמצאים בפרוייקטים קוד פתוח.
עד כמה הטכנולוגיה מטופשת ומקוממת כשרואים איך הצליחו לגרום למפתחים להשתמש בשפות מסורבלות, איטיות, חסרי יכולת [ללא הרחבות ידניות] ועוד חסרונות כיד המלך... לא ארחיב כאן, כיון שלפחות חלק מההסברים כבר כתבתי לפחות פעם אחת באריכות כאן בפורום (PHP או בניית אתרים).