Se I deseleziona la casella di controllo "Abilita accesso anonimo" in IIS, in modo da proteggere con password un sito, ad esempio limitando l'accesso in lettura agli account Windows designati, esegue il dialogo con password risultante che viene quindi presentato a tutte le richieste HTTP anonime, rappresentano un rischio per la sicurezza in quanto (apparentemente) offre tutti quanti un numero illimitato di tentativi di indovinare con qualsiasi password dell'account Windows?La disabilitazione dell'accesso anonimo in IIS crea un rischio per la sicurezza?
MODIFICA: OK, non c'è molta gioia con questo finora, quindi mi sto allegando una taglia. Solo 50 punti, mi dispiace, sono un uomo dai mezzi modesti. Per chiarire che cosa sto cercando: la disabilitazione dell'accesso anonimo in IIS offre un'opportunità di indovinare la password al pubblico che non esisteva in precedenza, o è il caso in cui il dialogo delle credenziali dell'utente del browser può essere simulato includendo un nome utente e una password in un richiesta http direttamente, e che la risposta indicherebbe se la combinazione fosse corretta anche se la pagina era aperta agli utenti anonimi in ogni caso? Inoltre, i tentativi di password errati inviati tramite http soggetti allo stesso criterio di blocco vengono applicati per gli accessi interni e, in caso affermativo, rappresentano un'opportunità molto semplice per bloccare deliberatamente i nomi utente conosciuti o, in alternativa, se c'è qualcosa che può essere fatto per mitigare questa possibilità illimitata di indovinare la password?
Grazie mille. Giusto per chiarire, è il caso che tale opportunità di indovinare la password non esiste quando l'autenticazione anonima è in atto, cioè inviando direttamente qualsiasi intestazione di richiesta invia il dialogo della password, e ancora ricevendo qualche tipo di risposta informativa? – stovroz