ASP
IIS7 에서는 일반연결(http) 와 보안연결(https) 간 세션유지가 되지 않습니다.
기본적으로 IIS7 은 http 연결과 https 연결의 세션을 별도로 관리 합니다. 그렇기 때문에 https 페이지에서 http 페이지로 넘어오게 되면 도메인이 같더라도 세션정보가 보이지 않게됩니다. 일단 해결방법은 다음과 같습니다. 기본적으로 보안 연결(HTTPS) 로의 접속시 세션이 별도의 영역에서 사용되도록 되어 있습니다. 보안 연결(HTTPS) 연결을 사용시에는 일반 연결(HTTP) 과는 별도의 영역으로 분리되어 세션이 서로 다른 사이트처럼 운영이 됩니다. 그렇기때문에 이를 하나의 사이트로 운영하기 위해서는 반드시 보안 연결의 새 ID 를 False 로 설정해야 합니다.
[ASP] Session.Timeout 최대값은 24시간
예전에는 별로 신경을 쓰지 않던 부분이였는데, 그냥 지나치려다가 기억력을 돕는 차원에서 정리합니다. 대부분 session.timeout 은 사용자의 로그인등에 사용을 합니다. 사이트 방문자의 경우 로그인같이 특별한 경우가 아니면 성능상 불필요합니다. 또한, 되도록이면 session 변수의 사용을 자제하는것이 사이트의 성능을 높이는 방법이 되고 있습니다. 그렇다 하더라도 Session.Timeout 의 최대값에 대해서는 알아둘 필요가 있습니다. ASP 에서는 24시간(1440분)이 최대 Session.timeout 값 입니다. 그 이상의 값을 설정했을경우 오류가 발생을 하게 됩니다. 이 설정은 의도된 설정이라고 합니다. 이 설정을 우회하기 위해서는 쿠키를 이용하여야 합니다. - 참조 PRB: Session..
캐슬(CASTLE) - 소스추가형 웹사이트 보안강화 도구
이전에 배포하던 웹쉘 탐지 프로그램(Whistl)[주:물론 사용자동의는 구하지만 검색된 웹쉘로 추측되는 정보를 추후 동의 사용자동의 없이 타서버로 전송된다는것은 그다지 유쾌하지 않은 기억이였습니다.]에 대해서 안좋은 기억이 있었는데,지난 1월 20일에 인터넷침해사고대응센터(http://www.krcert.or.kt) 에서는 홈페이지 보안 강화 도구(CASTLE) 를 보급하기 시작했습니다. 많은 분들이 설치가이드나 FaQ, 등을 참고하여서 포스팅을 하고 있기때문에 많은 분들이 이런게 있다라는 것에 대해서는 보안에 관심이 있는 관련업계분들은 들어보셨으리라 생각합니다. 그래서 설치되는 부분의 소스를 분석해보고 설치후 약간의 악의적인 접근을 시도하면서 몇가지 겪은점에 대해서 이야기를 해보겠습니다. 홈페이지 보안..
지정한 트랜잭션 코디네이터에 새 트랜잭션을 기록할 수 없습니다
각 서버단위 보안정책에 의해 다음과 같은 오류가 발생을 할수가 있습니다. Microsoft OLE DB Provider for SQL Server error '8004d00a' 지정한 트랜잭션 코디네이터에 새 트랜잭션을 기록할 수 없습니다. /xxxx.asp, line 5 원인은 MS DTC(Microsoft Distributed Transaction Coordinator, 이하 MS DTC)의 서버간 통신불가에 의한 데이터베이스 접속불가현상입니다. MS DTC는 NetBIOS를 이용하여 컴퓨터 이름을 확인할 수 있어야 합니다. 핑(Ping)과 서버 이름을 사용하여 NetBIOS가 이름을 확인할 수 있는지 테스트할 수 있습니다. 클라이언트 컴퓨터는 서버 이름을 확인할 수 있어야 하며 서버는 클라이언트 이..