In un post del blog MSDN 2012, Microsoft scoraggia l'autenticazione in modalità mista in ASP.NET MVC per essere vulnerabile agli attacchi banali:
The ASP.NET team doesn’t support using mixed-mode authentication in an application. If you search the web, you’ll find blog posts on how to do this, but please note that the techniques discussed in these blog posts are discouraged by the team. The reason this is discouraged is that it is very difficult to reason about security from a correctness point of view, and there are trivial attacks against such a setup that can allow malicious clients to masquerade as an authenticated user. If a supported/secure approach to using mixed-mode authentication is important to you, make a request on our UserVoice page. (source)
Per il contesto, questo era un paio di anni prima OWIN-MixedAuth è nato. Non so se questa risposta StackOverflow da gennaio 2012 è rappresentativo del tipo di consigli a cui i blog davano il tempo, ma consiglia di mescolare WebPages con MVC e inserire un JavaScript reindirizzare sulla pagina 401 di IIS.
Sarebbe utile sapere a quali attacchi Microsoft si sta riferendo per valutare la sicurezza delle soluzioni attuali come OWIN-MixedAuth.