Me gusta extender un servicio de autenticación y me gustaría preguntar sobre la perspectiva de seguridad de HttpContext.Current. Digamos que usted tiene una autenticación de sitios web / wcf y tal (donde http es aplicable). HttpContext.Current se utiliza para almacenar la sesión y otra información en la matriz de elementos, sin necesidad de pasar credenciales durante toda la sesión.
¿Qué tan seguros son HttpContext y cómo puede ser mal usado y explotar fallas de seguridad? Hay una gran cantidad de publicaciones y blogs que hablan sobre "no poner sesión o System.Web en las capas de su negocio". Algunos simplemente dicen "no le digas al usuario sobre tu capa de negocios". ¿Qué sabría el usuario y dónde está el borde de una "capa empresarial"? Es decir. una capa empresarial es únicamente un terreno para los sitios web.
¿Dónde está el peligro que predican esas personas y qué puede hacer un usuario que desea romper la autenticación? ¿Hay "demasiado fácil" desarrollar errores que hagan que el sistema se comporte de forma inesperada o que den más acceso que los mencionados?