¿Es el modo "Windows" inherentemente más seguro que la autenticación Forms para aplicaciones web .NET?

3

Se está revisando una aplicación web y veo la sección habitual en Web.Config :

<authentication mode="Windows">
  <forms loginUrl="~/Account/Login" timeout="10800" defaultUrl="~/"/>
</authentication>

La discusión aquí es si esto es inherentemente más seguro que la autenticación mediante formularios. Un lado del argumento es que Windows está bien ya que el usuario necesita tener una cuenta de Windows para usar el sistema.

Mi argumento es "Claro, eso es cierto, pero no mitiga todos los vectores de ataque" y solo proporciona la apariencia de seguridad.

El problema es el proveedor de membresía que hace referencia a una conexión de base de datos no existente y un manejo inadecuado de errores, pero este es un problema secundario.

¿Cuál es el mejor argumento para presentar que la autenticación de Windows se trata como una panacea para los problemas de seguridad de las aplicaciones web?

    
pregunta Phil.Wheeler 04.07.2016 - 06:04
fuente

1 respuesta

2

En mi experiencia, el mayor problema es que la autenticación de Windows tiende a confundir la autenticación y la autorización. ¡El hecho de que un usuario tenga una cuenta de Windows no significa que deba poder acceder a un recurso!

Un ejemplo simple sería cuentas de máquina. En un sistema de Active Directory, las cuentas de la máquina obtienen tokens Kerberos al igual que los usuarios. He visto la mayoría de las implementaciones de la autenticación de Windows que confían en que solo porque un usuario puede ser identificado (autenticado) de manera positiva también tiene autorización para acceder al recurso protegido, por lo que cualquier cuenta de máquina podrá acceder al recurso protegido.

    
respondido por el Reid Rankin 04.07.2016 - 06:54
fuente

Lea otras preguntas en las etiquetas