ASP.NET jelszó cleartext-ben a webservice-ig?
2010-10-12T09:34:56+02:00
2010-10-13T09:47:32+02:00
2022-06-29T21:41:29+02:00
  • Mert ugye a klienstől a szerverig tartó csatornát én kóddal nem tudom titkosítani

    De tudod. Pl. md5 vagy sha hasht generálhatsz egy szerveroldalon generált (folyamatosan változó) random saltból és a felhasználó által megadott jelszóból, és a plaintext jelszó helyett ezt küldheted el vissza az ASP.NET alkalmazásodnak. A szerveroldalon az ellenőrzés aztán ugyanez a random salt és az adatbázisban tárolt jelszó alapján generált hash a beküldöttel történő összehasonlításával történhet meg. Ez nyilván csak akkor fog egyezést mutatni - a hash-ütközéseket leszámítva -, ha a tárolt és a felhasználó által a kliens oldalon megadott jelszó egyezik; és maga a jelszónak mégsem kell soha átmennie majd a kábelen. Így az még HTTP felett is gyakorlatilag (záros időn belül) megfejthetetlen lesz, hiába képes valaki a kommunikáció lehallgatására a két végpont között.

    A random saltot persze mindig rotálni, változtatni kell (legkésőbb minden egyes sikeres authentikáció után), hogy kétszer sose fordulhasson elő ugyanaz, hiszen csak ez biztosítja, hogy az egyszer már elküldött hasht ne lehessen újabb, hamis authentikációhoz felhasználni.
    Mutasd a teljes hozzászólást!
  • Szia!

    Forms Authentication-t használok Role based Authorization-al.

    Akkor https-re kell váltanom?

    Mert ugye a klienstől a szerverig tartó csatornát én kóddal nem tudom titkosítani, (hiszen azért az architektúra felel) csak a szerver oldali kódtól a webservice-ig.

    Akkor a kulcsszó a SOAP titkosítás és https?

    Köszi!
    Mutasd a teljes hozzászólást!
  • Attól is függ ez, hogy milyen módon hitelesítesz (saját vagy a keretrendszer által biztosított szolgáltatás), illetve, hogy használsz-e bármilyen SOAP titkosítást.

    Alapból a webservice http protokollt használ, ami nem titkosított, tehát a küldött/fogadott adatok simán olvashatóak.

    Ez adja is a védekezés módját: titkosítani kell. Lehet protokoll szinten (https http helyett), használhat SOAP biztonsági kiterjesztéseket, illetve te magad is gondoskodhatsz az adatok titkosításáról. Mindez rajtad áll.
    Mutasd a teljes hozzászólást!
  • Üdv,

    Nem tudjátok hogy küldi el a user/password párost az ASP.NET a klienstől a webservice-nek?

    Cleartext-ként vagy titkosítva? Hogy kell ezt helyesen védeni?

    Egy sima ASP.NET szolgáltatónál van az oldal, ahol egy főmappában van a webservice mappa és az ASP.NET tartalom mappa.

    Köszi!
    Mutasd a teljes hozzászólást!
abcd