El programa de instalación:almacenamiento en caché de la imagen, y HTTPHandler FormsAuthentication
Estoy trabajando en un sitio web que utiliza Formsauthentication
que utilizan cookies para almacenar el billete de inicio de sesión. El sitio también tiene un HTTPHandler
que gestiona las imágenes almacenadas en la base de datos. El controlador almacena en caché las imágenes para que sean públicas y vencen en 20 minutos. Hemos notado que dado que las imágenes tienen el mismo ciclo de vida que una página, las imágenes también incluyen la cookie Formsauthentication
. La configuración es IIS 6, servidor Win2k, la caducidad del contenido no está habilitada.
El problema:
Lo que estamos experimentando es los registros de la persona A y le pega en un par de páginas. Luego, la Persona B accede a la página predeterminada, no inicia sesión y obtiene la cookie para la Persona A, y puede ver todos los datos A de la persona. Hemos reproducido el problema una vez activando la caducidad del contenido en IIS, pero no se ha reproducido de forma consistente, por lo que no estamos seguros de si Content Expiration nos ayudó a reproducirlo. Estamos asumiendo que dado que las imágenes se almacenan en caché como públicas y también contienen la cookie con el FormsAuthentication
, de alguna manera es posible que la persona B involuntariamente obtenga la cookie de la persona A. Sabemos que esto no es un ataque en el sitio web.
Alguien ha experimentado algo similar a este comportamiento? Si es así, ¿puede darnos algún consejo sobre cómo reproducir este problema de manera consistente?
A menos que sea una respuesta a la pregunta, edite su pregunta o comente directamente la respuesta que está comentando. Hay un campo 'agregar comentario' expresamente para ese propósito. –