Almacenamos dos objetos en sesión. De alguna manera, uno de los objetos de otro usuario se cargó en una sesión de usuario diferente. El usuario no debería haber tenido acceso a estos datos en particular, y tan pronto como lo vieron sabían que algo estaba muy mal.Mezcla de sesiones ASP.NET utilizando StateServer (SCARY!)
Tenemos prueba visual de los datos que se le presentaron, y hay ciertamente de ninguna manera podría haber pasado a menos que las sesiones se mezclaron. Esta es una situación muy aterradora que no podemos descubrir (no podemos reproducirla). La única respuesta para nosotros es echarle la culpa a ASP.NET StateServer por mezclar las variables de la sesión, lo cual es completamente inaceptable y nos pone en una mala posición.
Nuestras aplicaciones son ASP.NET 2.0 que se ejecutan en Windows Server 2003 con IIS6, utilizando el modo de sesión StateServer cookieless="false"
y FormsAuthentication.
¿Alguien más ha tenido este problema? ¿Cómo podemos resolverlo?
He visto esto, pero en .Net 1.1. t fue supuestamente arreglado en 2.0. Tengo algunas preguntas antes de intentar publicar una respuesta. Primera pregunta, ¿estás usando una sesión sin cookies? – David
Gracias! Sí, sin cookies (dice en la pregunta). –
Lo siento ... No lo leí. Dado que el uso de sesiones sin cookies significa que el ID de sesión se incluye en la URL como parámetro de cadena de consulta, ¿ha verificado que el parámetro de secuencia de comandos de SessionID de la URL es diferente entre los dos usuarios cuando sucede esto? – David