Я ищу информацию о секретности безопасности (эффективные разрешения пользователей для нашего веб-приложения) в резидентном объекте, чтобы уменьшить запросы к базе данных при выполнении проверок разрешений в приложении.Различия в зрелости сеанса ASP
Я понимаю, что сеанс хранится на стороне сервера и не доступен непосредственно клиенту при нормальных обстоятельствах. Другие механизмы персистентности ASP.net могут быть теоретически проиграны, by modifying viewstate or cookie values на стороне клиента, но эти недостатки реализации криптографии не должны выставлять состояние сеанса.
Какую степень контроля над вашим сервером злоумышленник должен будет изменять данные в состоянии сеанса клиентов? Предположим, у них есть sessionID и cookie ASPAUTH.
Например:
А удаленная атака, как модифицированный POST или другой вызов обработчика на страницы?
Может ли злоумышленник с программным доступом к IIS (WMI mabey?) иметь доступ и изменять состояние сеанса в той же или другой памяти пула приложений?
Возможно, злоумышленник сможет отправлять код в мое приложение, чтобы манипулировать памятью сессии?
Я знаю, что такие вопросы часто полагается на ошибках в своем коде, поэтому все средства предположат, я написал худший, самый опасный код в истории (я не имею, но ...) и сделать такие как сеанс изменений в конструкторе или событии жизненного цикла.