Estamos usando asp.net mvc, usando formularios de autenticación. El nombre de usuario y la contraseña se envían al servidor con TLS con un certificado seguro seguro. Su justificación para esto:
amenaza: "el servidor web utiliza autenticación de forma de texto sin formato. Si un atacante con acceso al tráfico de red desde y hacia el host de destino puede obtener credenciales de inicio de sesión al detectar el tráfico de red".
Este es un problema para cualquier sitio web, e imo suena como una pérdida de tiempo. Traté de encontrar la justificación para hacer esto. La mejor respuesta que encontré fue aquí:
básicamente no vale la pena y puede hacer más daño que bien. ¿Alguien puede explicar el daño?
Debido a que es asp.net, creo que tendré que escribir un módulo de autenticación personalizado como aquí:
Imo, creo que esto introduce más riesgo que beneficio. es decir, el módulo no funciona en algunos escenarios de casos de borde. ¿Qué piensas? ¿Algún otro riesgo que no esté pensando?