Diferentes usuarios obtienen el mismo valor de cookie en .ASPXANONYMOUS

Question

Mar 15, 2010, 05:27 PM

anonymousidentification forms-authentication asp.net-mvc asp.net

Diferentes usuarios obtienen el mismo valor de cookie en .ASPXANONYMOUS

Mi sitio permite usuarios anónimos. Vi que, bajo una gran carga, los usuarios anónimos obtienen a veces valores de perfil de otros usuarios.

Primero elimino mis cookies y obtengo un valor único válido en el valor de la cookie .ASPXANONYMOUS. Después de un par de solicitudes, obtengo un nuevo valor para .ASPXANONYMOUS que ya está siendo utilizado por otro usuario. Veo en mis registros que siempre hay un par de usuarios que comparten el mismo valor en .ASPXANONYMOUS.

Puedo ver en mis registros que 2 o más usuarios realmente obtienen el mismo valor de cookie para .ASPXANONYMOUS incluso si tienen una IP diferente.

Aquí está el tráfico htttp. En la segunda imagen se muestra la cookie cambiante (debe mostrar la imagen a tamaño completo para poder leer el registro):

Una de las muchas solicitudes que funcionan bien:

texto alternativo http://img413.imageshack.us/img413/2711/log1.gif

Luego está esta solicitud que cambia la cookie texto alternativo http://img704.imageshack.us/img704/8175/log2.gif

Luego se usa la nueva cookie

texto alternativo http://img704.imageshack.us/img704/3818/log3.gif

Solo para estar seguro, eliminé la inyección de dependencia. No uso OutputCaching.

Mi web.config tiene esta configuración para la autenticación:

 <anonymousIdentification enabled="true" cookieless="UseCookies" cookieName=".ASPXANONYMOUS" 
      cookieTimeout="30" cookiePath="/" cookieRequireSSL="false" cookieSlidingExpiration="true" />

  <authentication mode="Forms">
        <forms loginUrl="~/de/Account/Login" />
    </authentication>

¿Alguien tiene una idea de qué más podría registrar o qué debería mirar?

ACTUALIZAR

Ahora vi que el tráfico http que mostré es perfectamente válido. Un valor cambiante en .ASPXANONYMOUS es algo que sucede porque la cookie se actualiza. El valor contiene AnonymousID y una marca de tiempo.

Esto no conduce a que los usuarios tengan el mismo valor en .ASPXANONYMOUS en condiciones normales.

El problema realmente es que cada vez que los cokies se configuran desde el AnonymousIdentificationModule, existe la posibilidad de que un par de usuarios obtengan esta cookie. Configurar una cookie en mi aplicación no tiene este extraño efecto secundario.