Sto sviluppando un sito intranet ASP.Net MVC 3 che utilizzerà esclusivamente l'autenticazione integrata di Windows. Quali sono le vulnerabilità del traffico di autenticazione challenge / response inviato in testo normale? Qualcuno che annusa il traffico di rete sarà in grado di dirottare una sessione autenticata?
NTLM è probabilmente una delle migliori opzioni che hai in termini di autenticazione in chiaro, ma hai ancora un sacco di vulnerabilità se non stai crittografando il livello di trasporto, anche in un ambiente un po 'affidabile. Fondamentalmente, se i dati contano, spendi $ 25 extra e ottieni un certificato valido.
Leggi altre domande sui tag security asp.net asp.net-mvc