Как обычно атентифицирует пользователя на форумах или сайтах, когда SSL нельзя из-за тормозов? Через сессии. Есть пользователь, с каким-то id, который обычно сохраняют в сессию. По этому id из сессии потом определяют его права, ну и т.д. Сосбтвенно в чем сабж: предположим, что id пользователя вполне конкретное число (как правило в пределах 1000). Кто мешает злобному хацкеру (ну или детям, чуть-чуть разбирающимся в этом) сказать браузеру, что Session["id_user"]=556, впереться на сайт где этот юзверь недавно бегал по этому идентификатору, после чего мутить воду под его правами (юзвенри кнопку logout не нажимают - дохлый номер их об этом просить)? Кто как решает эту проблему? Сразу скажу что шифрование идентификатора обычно мало помогает, т.к. мы его все равно отсылаем юзверю, что естественно перехватывается на раз. Какие будут решения кроме как все пропускать через SSL или биндить всех юзверей по IP?

big-duke RosivКто мешает злобному хацкеру (ну или детям, чуть-чуть разбирающимся в этом) сказать браузеру, что Session["id_user"]=556,
Вы уверены что речь идет о Session ? А не о куках. Session как я понимаю - это серверный объект и сказать броузеру , что Session["id_user"]=556 вот так с разбегу не получится.

Что такое просто и что такое непросто? И что такое собственно броузер? Некий объект производный от httpContext (это если через MFC) или чего-то в этом роде. Я где-то годик назад писал что-то типа FTP броузера, так разницы от обычного нет. Только классы для FTP/HTTP разные.
Вернемся к Session. А что по вашему такое сессия в реалии жизни? Она хранится в браузере или любом другом объекте обращающегося к серверному скрипту. Да, она появляется (генерируется) сервером. Т.е. просто с бухты барахты естественно "в гости" не прийдешь - сессии на сервере нету. А вот если пользователь с этой сессией уже вошел в систему, то что мне мешает зная ее пристроиться вторым потоком? Да ничего не мешает, если единственная проверка это id сессии. Вот такие пироги. А в свой броузер я могу писать что угодно и когда угодно, а серверу, к которому контачишься обычно откровенно все равно IE к нему приполз или "Rosiv browser".

marina milaninaВ браузере хранится только идентификатор сессии, и его действительно можно перехватить.
Единственный способ застраховаться от этого - SSL.

Можно еще разрешать доступ к вашему веб-узлу только с определенных ip-адресов. Причем реализовать это на уровне IIS или еще лучше - на сетевом уровне. Но не всякое приложение расчитано на использование узкого круга лиц

Сорри, невнимательно прочитала сообщение, поэтому посоветовала то, что вы и так давно знаете.

Знать то конечно знаем, да только в системах гос. уровня раньше не внедрял, поэтому решил побеспокоиться заранее об этом тонком моменте. Дело в том, что SSL в отдельных случаях сандалить не очень практично - тормозить будет сильно, вот и ищу обходные методы, сводящие использование SSL к минимуму. Если честно, меня всегда интересовало вопрос: сессия + ограничение по IP дает ли 100% результат того, что не влезут злобные хацкеры с другого компа без использования SSL? То что они могут собирать данные на пути сервер-пользователь в 90% меня мало беспокоит, главное чтобы изменять ничего не могли :). Собственно единичные выловленные данные из базы никакой погоды не делают - главное, чтобы нельзя было выцепить большой кусок базы (для этого ограничения по времени на каждую сессию + ограничение на количество запросов от пользователя в интервал времени).

P.S. А система расчитана не на большое количество народу. Тысяч 10-20 максимум. Их ip-ники можно хранить в базе без особых проблем и добавлять по мере необходимости. Мы в конце концов не интернет магазин - кого попало не пускаем :)

marina milaninaОграничение по ip на сетевом уровне - несомненно даст результат
Но это, уже, как я понимаю, не ваша проблема, а проблема сетевых инженеров.
В принципе да, надо же людям зарабатывать на жизнь. Надеюсь что начальство тоже так думает, а не считает, что я тут зазря людей дергаю, в то время как ограничение могу сам ставить программно :).

Ладно, спасибо, что подтвердили мои догадки, а то теория теорией, а за кривую реализацию бьют потом волне реально :).