سلام

من برای کنترل User هام از Session استفاده می کنم. بنظر شما Session گزینه مناسبی برای این کار هست؟ این رو هم بگم که امنیت برای من خیلی مهم هستش و به همین دلیل هیچوقت اطلاعات User رو در کامپیوتر Client ذخیره نمی کنم!

امنیت مسئله ساده ای نیست که با ذخیره نکردن اطلاعات سمت کلاینت حل بشه.

باید کدهای شما امن باشند ، برنامه شما امن باشه ، پایگاه داده شما امن باشه و در نهایت سرور امنی هم داشته باشید چون اگر این آخری نباشه اون سه تای اول یعنی کشک!

Session به طرق زیر تحدید می شود:


1.Token hijaking
2.Account hopping
3.Session fixation
4.Token predication
5.Token brute-force attack
6.Token keep-alive
7.Token manipulation
8.Cross-site scripting
9.Information leakage
10.Phishing

بنابراین راههای مقابله با این تحدیدات را به برنامه خود اضافه کنید.
استفاده از SSL ، نپذیرفتن Session Token قبل از تایید اعتبار آن ، استفاده از Token های پیچیده و با قابلیت حدس زدن بسیار کم، استفاده از زمان انقضای مطلق ، تشخیص واقعی بودن Session Token و ........

در ضمن شما از هر ابزاری که برای ذخیره اطلاعات کاربر استفاده کنید تقریبا همین تعداد تحدید براش وجود داره.

این هم یک مرجع کامل برای امن کردن وب سایت های ASP.NET :

Improving Web Application Security: Threats and Countermeasures (http://msdn2.microsoft.com/en-us/library/ms994921.aspx)
در MSDN خودتان این آدرس رو ببینید:


.NET Developement>Performance>Improving .NET Aplication Performance and Scalability>Improving Web Application Security :Threats and Countermeasures


یا اگر حوصله MSDN رو ندارید این کتاب رو بخونید:
http://www.naghoos-andisheh.com/chosedet.asp?bNumber=1656&choseType=b