सेटअप:छवि कैशिंग, HttpHandler और FormsAuthentication
मैं एक वेबसाइट Formsauthentication
कुकीज़ का उपयोग कर का उपयोग करता है लॉगिन टिकट स्टोर करने के लिए पर काम कर रहा हूँ। साइट पर HTTPHandler
भी है जो डेटाबेस में संग्रहीत छवियों का प्रबंधन करता है। हैंडलर छवियों को सार्वजनिक रूप से कैश करता है और 20 मिनट में समाप्त हो जाता है। हमने देखा है कि चूंकि छवियों के पास एक पृष्ठ के समान जीवन चक्र है, इसलिए छवियों में Formsauthentication
कुकी भी शामिल है। कॉन्फ़िगरेशन आईआईएस 6, विन 2 के सर्वर है, सामग्री समाप्ति सक्षम नहीं है।
समस्या:
क्या हम सामना कर रहे हैं में व्यक्ति क लॉग है और पृष्ठों की एक जोड़ी हिट। फिर व्यक्ति बी डिफ़ॉल्ट पृष्ठ को हिट नहीं करता है और लॉग इन नहीं करता है और व्यक्ति ए के लिए कुकी प्राप्त करता है और सभी व्यक्ति के डेटा को देखने में सक्षम होता है। हमने आईआईएस में सामग्री समाप्ति पर एक बार समस्या का पुनरुत्पादन किया है लेकिन लगातार पुन: उत्पन्न नहीं किया है, इसलिए हमें यकीन नहीं है कि सामग्री समाप्ति ने हमें इसे पुन: पेश करने में मदद की है। हम मानते हैं कि छवियों को सार्वजनिक रूप से कैश किया जा रहा है और उनमें FormsAuthentication
के साथ कुकी भी शामिल है, यह किसी भी तरह से व्यक्ति बी के लिए अनजाने में व्यक्ति ए की कुकी प्राप्त करने के लिए संभव है। हम जानते हैं कि यह वेबसाइट पर हमला नहीं है।
क्या किसी ने इस व्यवहार के समान कुछ अनुभव किया है? यदि हां, तो क्या आप इस मुद्दे को लगातार पुन: उत्पन्न करने के बारे में कोई सलाह दे सकते हैं?
जब तक कि यह प्रश्न का उत्तर न हो, तो कृपया या तो अपना प्रश्न संपादित करें, या जिस उत्तर पर आप टिप्पणी कर रहे हैं उस पर सीधे टिप्पणी करें। उस उद्देश्य के लिए स्पष्ट रूप से 'टिप्पणी जोड़ें' फ़ील्ड है। –