Мы используем реализацию Sharepoint для портала для клиентов. Мы даем каждому клиенту сайт, где он будет иметь доступ к отчетам. Мы используем одну и ту же библиотеку отчетов, каждый отчет принимает параметр, который является уникальным идентификатором для клиента. Проблема, с которой мы сталкиваемся, заключается в том, что пока вы можете проходить проверку подлинности в системе, вы можете просматривать исходный код на странице, содержащей отчет, и, выполнив некоторое прибегая к поиску, вы можете выяснить, как составить строку запроса для получения отчета. Выбрав случайные номера идентификаторов, вы можете получить отчеты других клиентов.
Скорее всего, клиенты не будут этого делать, но всегда есть шанс, и мы стремимся закрыть эту дыру.
Кто-нибудь еще сталкивался с этим? У нас есть несколько возможных решений, но мы надеемся, что может быть что-то более простое, чего нам не хватает.