Se está revisando una aplicación web y veo la sección habitual en Web.Config
:
<authentication mode="Windows">
<forms loginUrl="~/Account/Login" timeout="10800" defaultUrl="~/"/>
</authentication>
La discusión aquí es si esto es inherentemente más seguro que la autenticación mediante formularios. Un lado del argumento es que Windows está bien ya que el usuario necesita tener una cuenta de Windows para usar el sistema.
Mi argumento es "Claro, eso es cierto, pero no mitiga todos los vectores de ataque" y solo proporciona la apariencia de seguridad.
El problema es el proveedor de membresía que hace referencia a una conexión de base de datos no existente y un manejo inadecuado de errores, pero este es un problema secundario.
¿Cuál es el mejor argumento para presentar que la autenticación de Windows se trata como una panacea para los problemas de seguridad de las aplicaciones web?