Probleme mit dem AntiForgeryToken in MVC2

In den letzten Tagen habe ich ein paar Probleme mit dem Antiforgerytoken des Html-Helpers. Bei einem Timeout des Authentication-Tokens und einen nachfolgenden Redirect auf die Loginseite wird ein Serverfehler ausgelöst. In der Version 3 von MVC existiert dieses Problem nicht mehr. Ein Test hat erwiesen, dass es hier eine Überarbeitung gegeben hat.
Einen Workaround habe ich nun auch gefunden. Wenn man die Methoden von Version 2 und 3 vergleicht, sieht man eine Überarbeitung beim Laden des Cookies. Dies lässt sich beim Einsatz von Version 2 damit umgehen, dass man die Cookies beim Laden der Loginview entfernt.
[csharp]
public ActionResult LogOn()
{
FormsService.SignOut();
Response.Cookies.Clear();

//Workaround
Request.Cookies.Clear();

Session.Clear();
Session.Abandon();

return View();
}
[/csharp]

Das Problem scheint wohl nur dann aufzutreten, wenn das Timeout des ApplicationPool des IIS abgelaufen ist.

Erweiterung zum Entity Framework CTP5 (EF Persistence Framework)

Wer OO-Programmierer mit Leib und Seele ist, wird wahrscheinlich schon von der neuen CTP 5 des Entity Framework gehört haben. Das Zauberwort lautet code-only. Man kann also einfach mit seinem Modell anfangen, so wie man es auch OOP-Entwickler gewohnt ist. Mit ein paar Annotationen oder Beachtung einiger Konventionen kommt man sehr schnell zu einem schönen Modell. Nun fehlt noch ein Kontext, der sich einfach von der Klasse DbContext ableiten lässt und die Sets werden als generische DbSet-Eigenschaften angelegt.Weiterlesen »

Sichere Anmeldungen aus Webseiten mit HMAC

Wer Anmeldungen aus einer Webseite ermöglich, muss sich mit vielen Angriffsszenarien beschäftigen, um die Webseite abzusichern. Die bekanntesten Angriffe können durch Mittel aus den Frameworks meistens schon (weitestgehend) blockiert werden. Dazu zählen z.B. SQL Injection, XSS und CSRF. Es gibt aber auch noch MITM, Man-in-the-middle-Attacken. Bei diesen befindet sich der Angreifer zwischen Ihnen und dem Server. Somit kann er jeden Datenverkehr abhören und nach belieben ändern. Selbst eine SSL-Verbindung bietet hier nicht immer den gewünschten Schutz.
Weiterlesen »