En una publicación de blog de MSDN de 2012, Microsoft desalienta la autenticación de modo mixto en ASP.NET MVC por ser vulnerable a ataques triviales:
El equipo de ASP.NET no admite el uso de autenticación de modo mixto en un solicitud. Si buscas en la web, encontrarás publicaciones en el blog sobre cómo hacerlo. esto, pero tenga en cuenta que las técnicas discutidas en estas publicaciones del blog son Desanimado por el equipo. La razón por la que esto se desalienta es que es muy difícil de razonar sobre la seguridad desde un punto de vista de corrección, y Hay ataques triviales contra una configuración de este tipo que puede permitir que los maliciosos clientes para disfrazarse como un usuario autenticado. Si es compatible / seguro El enfoque para utilizar la autenticación de modo mixto es importante para usted, haga una Solicite en nuestra página de UserVoice. ( fuente )
Para el contexto, esto fue un par de años antes de OWIN-MixedAuth se produjo. No sé si esta respuesta de StackOverflow a partir de enero de 2012 es representativo del tipo de consejos que los blogs dieron en La hora, pero recomienda mezclar páginas web con MVC y colocar un JavaScript. redirigir en la página 401 de IIS.
Sería útil saber a qué ataques se está refiriendo Microsoft en Para evaluar la seguridad de las soluciones actuales como OWIN-MixedAuth.