¿A qué ataques triviales es vulnerable el modo mixto ASP.NET MVC?

2

En una publicación de blog de MSDN de 2012, Microsoft desalienta la autenticación de modo mixto en ASP.NET MVC por ser vulnerable a ataques triviales:

  

El equipo de ASP.NET no admite el uso de autenticación de modo mixto en un   solicitud. Si buscas en la web, encontrarás publicaciones en el blog sobre cómo hacerlo.   esto, pero tenga en cuenta que las técnicas discutidas en estas publicaciones del blog son   Desanimado por el equipo. La razón por la que esto se desalienta es que es muy   difícil de razonar sobre la seguridad desde un punto de vista de corrección, y   Hay ataques triviales contra una configuración de este tipo que puede permitir que los maliciosos   clientes para disfrazarse como un usuario autenticado. Si es compatible / seguro   El enfoque para utilizar la autenticación de modo mixto es importante para usted, haga una   Solicite en nuestra página de UserVoice.   ( fuente )

Para el contexto, esto fue un par de años antes de OWIN-MixedAuth se produjo. No sé si esta respuesta de StackOverflow a partir de enero de 2012 es representativo del tipo de consejos que los blogs dieron en La hora, pero recomienda mezclar páginas web con MVC y colocar un JavaScript. redirigir en la página 401 de IIS.

Sería útil saber a qué ataques se está refiriendo Microsoft en Para evaluar la seguridad de las soluciones actuales como OWIN-MixedAuth.

    
pregunta Eric Eskildsen 12.06.2018 - 16:51
fuente

0 respuestas

Lea otras preguntas en las etiquetas