Это зависит от того, где хранятся данные вашего сеанса. Если InProc, вероятно, не так уж много беспокоиться. Если на сервере SQL, немного больше риска, но все же, что-то под вашим контролем. Если по какой-то причине вы храните данные о состоянии сеанса в состоянии страницы, у вас есть проблема.
учше всего хранить имя пользователя и логин SHA1 для приложения в интрасети?
Является ли сеанс относительно безопасным способом хранения информации, такой как информация о нескольких доменах, имя пользователя и пароль? Я держу их какSession["data"] = customObject()
Нужно ли мне делать какие-либо дополнительные шаги для обеспечения безопасности этих данных? Есть ли потенциальная проблема безопасности или дыра, которая может быть скомпрометирована? Какой-то сеанс инъекции? Должен ли я использовать какой-то процесс privatekey для блокировки / открытия данных сеанса для чтения?