Actualmente estoy realizando una revisión de código seguro de los problemas reportados de Fortify y los segmentos de código marcados se relacionan con el estado de la sesión actual que se almacena en la memoria. De forma predeterminada, el framework .NET almacena automáticamente todos los objetos HttpSessionState, sus atributos y cualquier objeto al que hagan referencia en la memoria. Esta implementación limita el estado de la sesión activa a lo que puede acomodar la memoria del sistema de una sola máquina.
Para mejorar el rendimiento, se recomienda marcar todos los objetos serializables para ampliar la capacidad.
Si bien se han tomado todas las medidas para hacer que todos estos objetos se puedan serializar, la herramienta de escaneo fortificada aún marca algunas variables de cadena como vulnerables.
Mi pregunta es: ¿las variables de cadena no están serializadas por defecto? ¿O necesito marcar explícitamente estas variables como "serializables"?