J'utilise la norme hors-the-box fournisseur d'appartenances aspnet, et je les paramètres suivants dans le web.config:Le fournisseur d'abonnement asp.net est-il compromis?
<anonymousIdentification enabled="false"/>
<authentication mode="Forms">
<forms cookieless="AutoDetect" loginUrl="~/XXXX.aspx" name="XXXXAuth" slidingExpiration="true" timeout="432000"/>
</authentication>
...
<membership defaultProvider="XXXMembershipProvider">
<providers>
<add name="XXXMembershipProvider" type="System.Web.Security.SqlMembershipProvider" applicationName="XXX" connectionStringName="XXX" enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="false" requiresUniqueEmail="true" minRequiredPasswordLength="5" minRequiredNonalphanumericCharacters="0" passwordFormat="Hashed" maxInvalidPasswordAttempts="5" passwordAttemptWindow="10" passwordStrengthRegularExpression=""/>
</providers>
</membership>
Aujourd'hui, j'ai eu un problème qui a signalé un utilisateur ils sont allés se connecter et ont remarqué que le site disait qu'ils étaient déjà connectés ... en tant qu'utilisateur complètement différent. Après avoir contacté les deux utilisateurs, il s'avère que ni accède au site à partir d'un ordinateur partagé. Les données de ce compte ne montrent aucun signe d'être «piraté» dans la base de données.
Le serveur est hébergé sur deux serveurs Web derrière un équilibreur de charge. L'architecture de base de données est un serveur pour les lectures, une pour les écritures avec réplication les maintenant synchronisées.
Est-ce que quelqu'un sait ce qui aurait pu se produire pour provoquer cela?
Salut Freddy, merci pour l'excellente suggestion. Cependant, lorsque j'éteins les cookies (dans IE7 et FF3), je vois le changement de comportement de l'URL, mais je n'arrive pas à me connecter. Malheureusement, il semble que je ne peux pas prouver que votre suggestion fonctionne. –