Attualmente sto eseguendo una revisione sicura del codice dei problemi segnalati da Fortify e i segmenti di codice contrassegnati si riferiscono allo stato corrente della sessione che viene memorizzato in memoria. Per impostazione predefinita, il framework .NET memorizza automaticamente tutti gli oggetti HttpSessionState, i relativi attributi e qualsiasi oggetto a cui fanno riferimento in memoria. Questa implementazione limita lo stato della sessione attiva a ciò che può essere ospitato dalla memoria di sistema di una singola macchina.
Per migliorare le prestazioni, si consiglia di contrassegnare tutti gli oggetti serializzabili per espandere la capacità.
Mentre sono stati fatti tutti i passi per rendere tutti questi oggetti serializzabili, lo strumento di fortificazione della scansione segnala ancora alcune variabili stringa come vulnerabili.
La mia domanda è: le variabili stringa non sono serializzate di default? o ho bisogno di contrassegnare esplicitamente queste variabili "Serializable"?