Imagine que você tenha um site simples com apenas duas páginas: login.aspx e secret.aspx. Seu site é protegido usando nada, mas a autenticação de formulários ASP.net e um controle de servidor de logon do ASP.net em login.aspx. Os detalhes são os seguintes:

O site está configurado para usar o SqlMembershipProviderO site nega todos os usuários anônimosCookies estão desativados

Obviamente, há muitas coisas a serem consideradas em relação à segurança, mas estou mais interessado na experiência inicial de código zero que vem com a estrutura .net.

Se, por causa desta questão, os únicos pontos de ataque são as caixas de texto de nome de usuário / senha em login.aspx, um hacker pode injetar um código que permitirá que eles obtenham acesso à nossa página secret.aspx?

Quão segura é a experiência imediata de código zero fornecida pela Microsoft?