基本的に、いいえ。WindowsAuthentication(blargh)は authentication stage でのみ機能します。つまり、Web サイトの HTTP-Basic-Auth を置き換え、ユーザーのいわゆるログインパスワードが有効で受け入れられるかどうかをチェックします。もちろんパスワードの話ではありません。これは単純化のための単なる例です。
長い間、この部分は安全と見なされるかもしれません。ただし、ユーザーがログオン部分を完了すると、ターゲット Web ページにバウンスされ、Web ページは自分の身元を認識し、Windows ブラッグのおかげで、Web サイトはだまされていないことを認識しますが、その後、ユーザーはそのページを使用するだけです。
そして、彼はどのようにそれをしますか?「この段階では SSL を実装していない」ため、彼はプレーンな HTTP を使用してサイトを閲覧しています。これは、すべてがプレーンテキストで送信されるようになったことを意味し、非常に簡単に覗き見したり、何かを挿入/変更したりできます. HTTP のみを使用している限り、HTTP は通信を保護する形式を提供しないため、何らかの形式の攻撃に対して「無防備」になります。これが、ある程度のセキュリティを必要とするほとんどのサイトがHTTPS、つまり SSLを介して利用できるようになっている理由です。
SSL の実装は難しくありません。最も基本的な使用法では、IIS 構成でいくつかのチェックボックスをオンにするだけで済み、独自の証明書を生成する必要がある場合もあります。無料で。最大で 5 分ほどかかり、SSL が稼働していて、誰も覗き見したり、注入したりすることはありません。[もちろん、彼らが鍵を壊さない限り、それには時間と決意が必要です..]
注: ExtendedProtection は、ページの実際の使用に先行する WindowsAuthentication プロセスにのみ関連するため、WindowsAuthentication-blargh と言います。「古い」WindowsAuthentication は比較的安全ではなかったため、いくつかの形式の攻撃を阻止する追加のセキュリティ手段で修正されました。WA+EP を使用すると、他の誰かがあなたとしてログインする可能性が低くなると思うかもしれません。ただし、ページのコンテンツは保護されません。WA はそれをしなかったので、WA+EP もそうではありません。
それが科目の基本です。ただし、私は Windows-Authentication-blargh の専門家ではないことに注意してください。実際にその機能を有効にすると、Web サイトのヘッダーで PGP ハッシュを送信する秘密の IIS モジュールがオンになり、InternetExplorer がそれらのハッシュを読み取って Web ページのコンテンツの検証を開始する他の秘密のモジュールをオンにする場合プレーンな HTTP で少し保護します。とにかく、IEでのみ動作します。しかし、私は非常に疑問です。Win-Auth は、接続セキュリティではなく、認証フェーズに関するものであるとほぼ確信しています。