A proposito dell'ormai noto problema di sicurezza sul modulo di autorizzazione di ASP.NET, ho letto il post suggerito da Lorenzo Barbieri su un "workaround" da utilizzare per garantire la sicurezza delle nostre applicazioni web.
Devo dire che l'idea di mettere in ogni pagina del codice per verificare se il ruolo dell'utente autenticato ha il permesso di accedere o meno alla risorsa mi riporta indietro nel tempo quando non c'erano alternative di sorta. Ora che abbiamo a disposizione un framework(ASP.NET) che mi permette di gestire l'accesso alle risorse web semplicemente configurando le autorizzazione in un file xml(web.config), devo rimettermi a gestire ancora da codice se questa o quella pagina è visibile per questo o quel ruolo...?
Ritengo che la soluzione ideale,almeno per me, sia quella di installare l' URLScan o eventualmente scrivermi un HttpModule e continuare ad usare il sistema di autorizzazione di ASP.NET...