[gibson]

Jag kör .NET och använder sessionen till att bl.a. spara ett id i som gör att användaren kan surfa runt på hela webbplatsen utan att vara registrerad, men ändå kunna spara saker temporärt (använda själva tjänsten). Detta funkar fint, men problemet är att om jag lägger upp en ny version så tar ju sessionen slut för alla användare och allt det som de sparat temporärt kommer att försvinna eftersom id't är borta. Jag vill inte spara några gömda variabler på sidan eftersom det är lätt att bygga egna requests då om man kan detta och på så sätt förstöra.. Hur hanterar man bäst detta problem, någon som har några ideér? Om man kör med cookies, kan man inte modifiera dessa då och byta id?

Problemet finns inte för registrerade användare eftersom de är autentiserade och jag hämtar id't på nytt om sessionen är tom.

[KarlRoos]

Det är cookies du skall använda eller ev. spara IP addressen i en databas och plocka ut datan nästa gång användaren kommer.

Vad är det för "id" du hade tänkt att spara?

[gibson]

Jag sätter en authentication cookie för alla registrerade användare när de loggar in så på den fronten är det inga problem. Det är ju en krypterad auth ticket.
Men däremot om man inte reggat sig och jag skapar en vanlig cookie istället för att spara i sessionen, kan inte användaren modifiera cookien och ändra id't på något sätt?

Siten är en budgettjänst där man skapar en budget online och id't är själva identifieraren som krävs om man inte reggat sig.