Seguridad en mi pagina web

Hola a todos. Estoy trabajando en una aplicacion web, ASP.NET usando como lenguaje de servidor vb.net la cual tiene una zona privada, a la que evidentemente se accede mediante un usuario y una contraseña, y tengo una duda con respecto a la seguridad.
Actualmente lo que hago para que nadie entre directamente poniendo la url, es, crear una variable de sesion cuando el usuario mete su nombre de usuario y su contraseña, luego comparo en todas las paginas si esa variable de sesion existe, y si no existe pues los mando otra vez a la pagina de inicio.
Nose por que no me parece una forma muy segura de hacerlo. Me gustaria saber si hay alguna forma de aumentar mi seguridad en la web, o si de la forma que lo hago en estos momentos esta bien.

Muchas gracias a todos por adelantado

Un saludo
Pinty

hola pynty, si quieres evitar spam o robots, puedes incluir en el formulario de registro un sistema de codigo captcha con validacion via e-mail , asi sabras que la persona que esta ingresando a la web es la misma que se suscribio a tu web.

espero haberte sido de ayuda

cualquier cosa pregunta estamos para ayudarte

atte

ingeniero: jose alexis trujillo

caracas-venezuela

Hola jatg. Muchas gracias por responder a mi pregunta. Si ese tema de validacion por email ya lo tengo implantado y me funciona perfectamente. Mi duda es respecto a la seguridad a la hora de acceder a la zona privada en la web. En estos momentos lo unico que hago es que cuando la persona inicia session creo una variable de session, y la compruebo en todas las paginas de la zona privada. Es que la zona privada de la web no es una sola paginas, sino varias, entonces uso ese sistema para que nadie pueda poner la url y acceder tan feliz. El tema es que una simple variable de session me parece poca seguridad, y me gustaria saber si hay formas mas seguras de hacerlo, o de si lo estoy haciendo bien.

Muchas gracias nuevamente
Un saludo
Pinty

pues bien lo que haces esta bien pero si quieres mas seguridad te invito a que veas este link

http://www.tufuncion.com/php_seguridad_I

suerte

atte

ingeniero: jose alexis trujillo

caracas-venezuela

Hola,

Uniendome al tema, estas en lo correcto. Utilizar variables de sesion para esto es demasiado poco seguro y talvez una de las practicas menos recomendadas. Te voy a dar un ejemplo del porque, al usar las variables de sesion significa que como programador tendras que verificar cada valor en cada pagina, que pasa sino lo haces o lo haces con un error?. Simplemente tienes un hueco de seguridad.

Lo mas recomendable a menos de que tengas una excelente capa de seguridad desarrollada es que utilices el Membership provider de asp.net, el cual ademas de controlar lo que mencionas en forma global te aporta muchisimas mas opciones para asegurar tu sitio web. Incluyendo la posibilidad de poder extenderlo o personalizarlo a tus necesidades.

Para que te vayas poniendo en conocimiento del tema, te dejo una excelente guia
http://www.4guysfromrolla.com/articles/120705-1.aspx

Piensalo...

Saludos,
Jason Ulloa
Microsoft Community Contributor

Hola. Se que es muy tarde para contestar a este tema ya que es de hace meses, pero cuando hay que agradece algo pues nunca es tarde.
Al final me he decidido por la documentacion que me ha dado Jaullo. Utilice la clase Membership, y los Roles de usuario y administrador definiendo varias capas. El proyecto hace tiempo que lo terminamos, espero que la seguridad sea buena. No obstante muchas gracias a jatg por la idea que me has dado.

Un saludo