Tengo un sitio web ASP.NET que sirve documentos PDF privados. Los archivos PDF se almacenan sin cifrar en un recurso compartido en la red interna. El usuario inicia sesión y navega a la página de descarga. El servidor web valida que el usuario tiene acceso al archivo, lo carga desde el recurso compartido y lo transmite en la respuesta.
¿Es esta la forma "correcta", una forma segura de entregar estos documentos? Por ejemplo, si los archivos PDF se almacenaron en un directorio en el sitio web en sí, sería un riesgo de seguridad de poco tiempo. Como mencioné, no están en el directorio del sitio web. Pero, ¿qué otra cosa debería tener en cuenta con esta configuración para mantener estos documentos seguros?