Аутентификация Windows IIS 7 неправильный пользователь

https://stackoverflow.com/questions/7410473/asp-net-application-iis7-sessionstate- is-cross-over-multiple-users-in-Dif

http://xprog.blogspot.com/2011/03/iis7-sessions-getting-crossed-mixed-up.html

Проблема сеанса с IIS7
http://forums.iis.net/t/1154347.aspx

Сессии IIS7 пересекаются / смешиваются / копируются
http://lionsden.co.il/codeden/?p=446

Признак

Пользователи сообщали, что видели данные, которые им не принадлежали, когда они входили в свои учетные записи. Журналы показали, что почти 10% наших пользователей получали копии сессий других пользователей. Был скопирован весь объект сеанса, включая переменные сеанса и идентификатор сеанса. После копирования отдельные сеансы могут быть изменены, не затрагивая другие (т. Е. отказ от одного не уничтожил другой.)

Чтобы выявить примеры проблемы, я сохранил Request.RemoteHost (IP-адрес компьютера, выполняющего запрос) в переменной сеанса. В начале каждого запроса я проверял, совпадает ли IP-адрес сеанса с IP-адресом текущего запроса.

Чего не было

Возможно, что IP-адрес изменится естественным образом, проще всего, если пользователь перезагрузит свой маршрутизатор / модем . Этого не было, потому что это происходило слишком часто. Кроме того, были подтвержденные случаи пересечения данных одного пользователя с данными другого. Наконец, некоторые из пар IP-адресов находились не только на разных компьютерах, но и в разных странах.

Также возможно, и часто предполагалось, что переменные сеанса могут перестать быть уникальными, если они используются со статическими / общими переменные в веб-приложении. Это было не так, потому что IP-адрес, который я хранил в сеансе, был записан только один раз, из запроса, а затем был прочитан только для сравнения с запросом. Это также было исключено, потому что SessionID также был дублирован, и это значение только для чтения.

То, что было

Это функция / ошибка в IIS7. В этой последней версии IIS представлены некоторые новые функции кэширования.

IIS7 автоматически кэширует статическое содержимое, такое как HTML-страницы, изображения и таблицы стилей.
IIS7 теперь также имеет возможность кэшировать динамический контент.

Кэширование динамического контента отлично, если это страница, например, динамически сгенерированная галерея изображений, или страница, которая генерируется динамически на основе культуры браузера. Однако в этой теме http://forums.iis.net/t/1154347.aspx , Анил Руиа, старший инженер по разработке программного обеспечения в ядре IIS, объясняет: «Вы не должны разрешать кэширование вывода для любого ответа, который зависит от состояния сеанса »

Если страница, генерирующая контент, зависит от состояния сеанса, она кэширует объект сеанса вместе с остальной частью страницы. Следующий пользователь, который должен пройти, вытаскивает кэшированный сеанс вместо того, чтобы получить новый. Когда я проверил наши настройки, я обнаружил, что он был настроен на кеширование всех страниц .aspx в течение трех минут, включая многие страницы, которые обращаются к сеансу.

Решение

Правило редактирования кеша

В IIS7 отключите кеширование для страниц .aspx в любом каталоге со страницей asp.net, которая зависит от состояния сеанса. Для этого:

Run the Server Management console.
Navigate to Roles -> Web Server (IIS) -> Internet Information Services.
Select the site you wish to modify.
Select the folder that contains the .aspx pages you need to turn caching off for.
In the Feature View, double-click “Output Caching”.
If there is a rule there already for the .aspx extension double click it. Otherwise right click and select “Add…”
Enter .aspx for the “File name extension”
Check “User-mode caching”
Select “Prevent all caching”
Check “Kernel-mode caching”
Select “Prevent all caching”
Click OK
Close the Server management Console