WCF Intranet安全配置

作者: 淋了一整夜的雨
发布时间: 2024-12-26 09:50:22 (25天前)
转自：

5 条回复

0#
回复此人
=_= | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 是的，这是合理的 - 但是：即使您在Intranet上，也应加密密码。使用网络嗅探器的任何人，例如WireShark，都可以看到通信文本，如果你没有加密密码，那么即使他们是员工，他们也能够获得密码 - 完全击败任何内部安全 - - 也就是说，除非你非常信任你的员工，否则用户名和密码真的没有任何意义。 </p> </DIV>

编辑
1#
回复此人
浮华丶 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 如果您使用wcf 3.5 sp1，您可以在非安全绑定中允许用户名和密码，只需设置安全传输即可 <a href="http://msdn.microsoft.com/en-us/library/system.servicemodel.channels.securitybindingelement.allowinsecuretransport.aspx" rel="nofollow noreferrer"> AllowInsecureTransport </A> 为真。 </p> </DIV>

编辑
2#
回复此人
啦啦啦拉肚子 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 这看起来很容易，但实际上它很难，因为WCF团队已经做出决定，不允许在不安全的通道上发送纯文本用户名令牌。您始终可以在自定义SOAP标头中发送用户名和密码，但在这种情况下，您将丢失WCF安全基础结构，并且您必须注入自己的密码验证行为等。 </p> <P> 如果您确实需要纯文本用户名令牌，则应检查此项 <a href="http://webservices20.blogspot.com/2008/11/introducing-wcf-clearusernamebinding.html" rel="nofollow noreferrer"> 捆绑 </A> 。 </p> <P> 编辑：顺便说一句。请记住，大多数安全攻击都来自内部人员，所以使用HTTPS并不是坏事，它会让事情变得更容易。 </p> </DIV>

编辑
3#
回复此人
阿政ღ | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 密码永远不应以纯文本形式发送。有些人使用相同的密码来处理不同的事情。窃取某人的密码可能会导致严重的身份盗用案件，即使您的申请我永远不会受到损害（受害者甚至不知道泄密的来源）。 </p> <P> 密码被哈希的原因 - 的<strong> 即使是电脑也不应该知道你的密码 </强> ！ </p> </DIV>

编辑

登录后才能参与评论