ASPに組み込まれたシステムを維持しています。
ログインプロセスはSSLです。つまり、ユーザーが「ログイン」をクリックすると、ユーザー名とパスワードがサーバーに安全に送信されます。ログインプロセスにより、現在ログインしているユーザーのIDであるSessionオブジェクトが生成されます。
ログインプロセスが完了すると、ページはブラウザを安全でないページにリダイレクトします。このページは、IDセッションオブジェクトにアクセスしようとします。
先週まで、これはうまくいきました。システムはIIS6.0で実行されており、非セキュアページはこのセキュアIDセッションオブジェクトにアクセスできました。ただし、IIS7.5に切り替えた後、この避けられないセキュリティホールは閉じられました(またはそう思います)。非セキュアページは、セキュアIDセッションオブジェクトにアクセスできなくなります。
オブジェクトへのアクセスは、次のように簡単に行われます。
string ID = Session(SESSION_USER_ID)
確認するために、セキュアログインページから非セキュアセッションオブジェクトにアクセスしようとしましたが、これも失敗しました。
安全でないページから安全なセッションオブジェクトにアクセスする方法はありますか?
ところで、私はおそらくここでいくつかの用語を間違えましたが、シナリオは多かれ少なかれ明確だと思います。そうでない場合は教えてください。