+- SafeGroup (https://safegroup.pl)
+-- Dział: Forum ogólne (https://safegroup.pl/forum-6.html)
+--- Dział: Programowanie - języki i technologie (https://safegroup.pl/forum-34.html)
+---- Dział: C#, VB, VC++ .NET (https://safegroup.pl/forum-38.html)
+---- Wątek: Zabezpieczenie usługi WCF przed nieautoryzowanym dostępem (/thread-10423.html)
Zabezpieczenie usługi WCF przed nieautoryzowanym dostępem - konrad11901 - 29.05.2016
Chciałbym napisać aplikację w C#, która mogłaby w dość prosty sposób instalować inne programy (można powiedzieć, że jest ona trochę podobna do Windows Store/App Store/Google Play). Informacje o tych programach byłyby w bazie danych znajdującej się na publicznie dostępnym (nie w obrębie jakiegoś Intranetu) serwerze dedykowanym.
Zastanawiam się, w jaki sposób przebiegałaby komunikacja pomiędzy aplikacją a serwerem. Myślę nad napisaniem usługi sieciowej wykorzystującej WCF, ale jest jeden problem - domyślnie każdy mógłby podpiąć się pod tą usługę, do czego nie chciałbym dopuścić. Próbowałem poszukać informacji nt. zabezpieczania usług WCF, ale nie mogłem znaleźć żadnego dobrego rozwiązania.
Czy istnieje jakiś skuteczny sposób na zabezpieczenie publicznie dostępnej usługi napisanej przy użyciu WCF? Albo czy macie jakiś inny pomysł na komunikację pomiędzy serwerem a tą aplikacją?
Z góry dzięki za pomoc
RE: Zabezpieczenie usługi WCF przed nieautoryzowanym dostępem - Tajny Współpracownik - 31.05.2016
A jakieś szyfrowanie?
RE: Zabezpieczenie usługi WCF przed nieautoryzowanym dostępem - chomikos - 31.05.2016
Poszukaj czegoś związanego z autoryzacją (standardowo użytkownik hasło), albo dla aplikacji serwerowej napisz coś co daje dostęp do usługi administracyjnej tylko wtedy, gdy adres z którego się łączymy jest na hmm "adminliście", przy czym adresy te powinny być zaszyfrowane i dynamicznie odszyfrowywane w aplikacji.
RE: Zabezpieczenie usługi WCF przed nieautoryzowanym dostępem - Tajny Współpracownik - 31.05.2016
O borze.
RE: Zabezpieczenie usługi WCF przed nieautoryzowanym dostępem - konrad11901 - 11.06.2016
Sorka za późną odpowiedź, ale byłem na długim wyjeździe :/
(31.05.2016, 17:21)chomikos napisał(a):Autoryzacja - użytkownik nie musi mieć konta, aby uzyskać dostęp do tego "sklepu", więc niestety odpada.[Aby zobaczyć linki, zarejestruj się tutaj]
Poszukaj czegoś związanego z autoryzacją (standardowo użytkownik hasło), albo dla aplikacji serwerowej napisz coś co daje dostęp do usługi administracyjnej tylko wtedy, gdy adres z którego się łączymy jest na hmm "adminliście", przy czym adresy te powinny być zaszyfrowane i dynamicznie odszyfrowywane w aplikacji.
Adminlist - każdy może korzystać z aplikacji, a nie określone osoby, więc również nie mogę zastosować takiego rozwiązania.
(31.05.2016, 16:41)Tajny Współpracownik napisał(a):Też nad tym myślałem, tyle że hasło szyfrujące musiałoby być przechowywane w aplikacji (albo na serwerze w publicznie dostępnym miejscu (poprawcie mnie, jeśli się mylę, bo nie znam się zbytnio na tym)), przez co prędzej czy później ktoś by uzyskał dostęp do tego hasła.[Aby zobaczyć linki, zarejestruj się tutaj]
A jakieś szyfrowanie?
RE: Zabezpieczenie usługi WCF przed nieautoryzowanym dostępem - Tajny Współpracownik - 11.06.2016
Łączysz się przez SSL i SSL-em wysyłasz dane do autoryzacji. W wiresharku będzie widać że coś idzie, ale nie wiadomo co.
RE: Zabezpieczenie usługi WCF przed nieautoryzowanym dostępem - Konto usunięte - 11.06.2016
GPG.
Można je wykorzystać najpierw do przesłania klucza klienta (szyfrując go publicznym serwera), a później do wymiany danych (wykorzystując już klucze klienta).