antihacker777Если знать ID задачи можно просмотреть перебором задачу других. Конечно я не буду пускать если UserID не будет совпадать с UserID задачи в контексте безопастности. Но тем ни менее. Не хотелось бы что бы ID задачи гуляли тюда сюда наглядно. Как то не красиво. То есть скрывать - это один из фич контекста безопастности.Какая-то дурацкая фича. Issue/Bug tracker-ом (в частности Jira) никогда не пользовался? В команде никогда не работал?

Думаю вся эта галиматья закончится хотелкой какого-нибудь начальника отслеживать задачи подчинённых и иметь прямой доступ по ссылке.
И родится у ТСа в голове миф о самодуре начальнике, не знающем, что он сам хочет

antihacker777, костыль с Server.Transfer создаёт иллюзию безопасности в твоих глазах.

antihacker777, редактировать кстати пользователь свою задачу может?

Номер задачи также является секретной информацией? Передаётся от постановщика испольнителю в конверте?

antihacker777skyANAНомер задачи также является секретной информацией? Передаётся от постановщика испольнителю в конверте?

Редактировать может. А номер задачи это и не есть номер задачи , который передается в параметр. Номер задачи не совпадает с номером задачи в базе данныхЯ понимаю, что не идентификатор. И кому этот номер известен, помимо испольнителя?

Отредактирует испольнитель задачу, нажмёт сейв... Фигак, фигак и всплывёт Task.aspx без параметров. Шняга.
А как пользователь будет расстраиваться, когда F5 нажмёт

antihacker777Номер известен тому кто поставил задачу. И почему ты думаешь что он без параметра всплывет ?А да, всплывёт с параметрами.
Или ты везде собрался Server.Transfer() использовать? Ну флаг тебе в руки, потом расскажешь, что из этого вышло.
antihacker777ДРуг я не профи конечно, но давай не будем засорять ерундой. Я знаю как надо делать что бы он не всплыл без параметраВыше я уже писал, что делай как хочешь, только ИМХО это костыль.

antihacker777А в чем конкретно костыл ?Да со временем поймёшь.

И да, в коде страницы-то параметры светятся (что-то я сразу об этом не подумал), раз задачу можно редактировать.
В теге <form>, атрибут action.

antihacker777Чужой редактировать не может. Если параметр UserID не совпадает с парамтером Session["UserID"], то даже страница для редактирования задачи не откроется.Но прямую-то ссылку посмотреть можно, и открыть её можно. Так что пляски с Server.Transfer() - это не более, чем защита от дурака за счёт юзабилити.