Sono in grado di estendere un servizio di autenticazione e mi piace chiedere informazioni sulla prospettiva di sicurezza di HttpContext.Current. Supponiamo che tu abbia un'autenticazione di siti web / wcf e simili (dove http è applicabile). HttpContext.Current viene utilizzato per memorizzare la sessione e altre informazioni nell'array Items, non è necessario passare credenziali intorno alla sessione.
Quanto sono sicuri HttpContext e possono essere utilizzati in modo improprio e sfruttare i difetti di sicurezza? Ci sono un sacco di post e blog che parlano di "non mettere la sessione o System.Web nei tuoi livelli aziendali". Alcuni dicono semplicemente "non far sapere all'utente il tuo livello aziendale". Cosa saprebbe l'utente e dove sono i confini per un "livello aziendale"? Cioè un livello aziendale è solo un terreno per i siti web.
Dove sono i pericoli di cui predica la gente e cosa può essere fatto da un utente che vuole interrompere l'autenticazione? Ci sono "troppo facili" per sviluppare bug che facciano in modo che il sistema si comporti inaspettato o che dia più accesso a quanto detto?