Tenemos una aplicación que se desarrolla utilizando ASP.NET MVC3. Prueba de penetración realizada por una herramienta IBM AppScan.
Se ha informado un problema y era ASPXAUTH no es seguro. Cuando verifiqué las herramientas de desarrollo del navegador, hay algunas cookies con marca de seguridad. Pero ASPXAUTH no fue uno de ellos.
YaheincluidolasiguientelíneadecódigoenelarchivoWeb.Config.
<httpCookiesrequireSSL="true"/>
Nota: No estamos utilizando la autenticación de formularios para iniciar sesión.
¿Cuál es la forma correcta de marcar ASPXAUTH como seguro?