לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה ‎print ‎"Hello World!"; if‎ ‎not rules.‎know ‎then rules.‎read(); חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > תכנות ובניית אתרים
רענן עמוד זה אבטחת Web Services ב NET.
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
« לאשכול הקודם | לאשכול הבא »
 
כלי אשכול חפש באשכול זה



  #1  
ישן 02-01-2006, 19:23
צלמית המשתמש של drEinstein
  drEinstein drEinstein אינו מחובר  
 
חבר מתאריך: 22.12.05
הודעות: 15
פיגוע אבטחת Web Services ב NET.
שלום!

יש אולי למישהו מוסג מה הסטנדרטים בבניית ספריית Web Service, שיש צורך לסנן את אלו שיכולים להשתמש בה.

לדוגמא:
אני בונה שרת שנותן מידע ממסד נתונים שעליו לפי שאילתא שנשלכת אליו ע"י שימוש בספריית Web Service שאני בונה. (ולא ישירות דרך ADO .NET)
אז איך אוכל לבטוח בזה שרק בחשבי קצה שיש בהם את תכנת הלקוח שלי יוכלו להשתמש בשירות הזה?

(אפשר כמובן לחייב בכל קריאת פונקציה להזין גם סיסמה אבל כמה זה בטוח נגד ציטוצים?)

קוד:
 
<WebMethod(..........)> _
Public Function XXX (stationName as string, password as string, a,b,c....)


ישנה אולי איזו פונקציה מובנית בframework שמאפשרת מן סינון כזה?
תודה.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 02-01-2006, 22:29
  גל דיסקין גל דיסקין אינו מחובר  
 
חבר מתאריך: 01.08.02
הודעות: 8,959
בתגובה להודעה מספר 1 שנכתבה על ידי drEinstein שמתחילה ב "אבטחת Web Services ב NET."
אתה יכול לממש הצפנת מפתח פתוח כשהמפתח מראש נתון לתוכנה ומתעדכן אחת לכמה זמן בתחנות הקצה. השאלה המשמעותית בהקשר זה היא עד כמה אתה מוגן מזה שהקוד בתחנות הקצה ימנע מליפול לידיים עוינות.
כמובן שהייתי גם מחייב איזשהו קוד גישה ליצירת Session ברמה האנושית (כלומר, מוכנס על ידי בן אדם לתוכנה בעת ההתקנה / קינפוג).
האידיאל בהקשר זה לדעתי יכול להיות מפתח פתוח שניתן ייחודית לכל תחנה ומיוצר בשרת כאשר ההגדרה שלו היא בקינפוג והוא מתעדכן במהלך ה sessions מפעם לפעם (לאחר hadshake מלא כמובן).

מעבר לזה, אל תשכח להגביל מאוד קריאות של מידע שנכנס לסרביס שלך (כלומר, קודם כל תגדיר מראש את הגודל של כל קריאה מהזכרון על ידי שימוש בהעתקות מוגבלות גודל כמו strncpy). אחרת הסרביס שלך עלול להיות פתוח ל overflows. וכחלק שני של זה בצע input validation ככל יכולתך. בקיצור - ודא שהקלט שלך תקין ושהעתקת אותו בזהירות לזכרון העבודה לפני שאתה בכלל שוקל לעשות משהו בקוד עצמו. (אותו הכלל חל גם על תחנות הקצה).

כמו כן ישנם הרבה מדריכים באינטרנט לתכנות שירותים מאובטחים שייתנו לך רעיונות על טעויות נפוצות ואני ממליץ לעבור על כמה מהם בעת תכנון הקוד וגם לאחר שסיימת ביחס לקוד שנוצר. אסור לעשות הנחות באבטחה.
_____________________________________
--
גל דיסקין (gal diskin)

עצות והמלצות:

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #3  
ישן 02-01-2006, 23:49
צלמית המשתמש של drEinstein
  drEinstein drEinstein אינו מחובר  
 
חבר מתאריך: 22.12.05
הודעות: 15
תודה
בתגובה להודעה מספר 2 שנכתבה על ידי גל דיסקין שמתחילה ב "אתה יכול לממש הצפנת מפתח פתוח..."
תודה על התגובה.

רק שני שאלות:
א. האם תבנית כמו שהבאתי בקוד הדגמה תספיק (בשימוש מפתח ציבורי).
ב. אולי יש לך לינק לאתר שדן בנושא?
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #4  
ישן 08-01-2006, 20:38
  גל דיסקין גל דיסקין אינו מחובר  
 
חבר מתאריך: 01.08.02
הודעות: 8,959
בתגובה להודעה מספר 3 שנכתבה על ידי drEinstein שמתחילה ב "תודה"
על לינק אני מוותר, כי לא הבנתי אם התכוונת ל web services sec או מפתחות, ובכל מקרה google is your friend.

התבנית לא בדיוק מסתדרת לי עם מפתח פתוח (המפתח צריך לחול על התקשורת שלך ככלל), אבל כעקרון כן, כתבנית לפעילות מעל שכבה של הצפנת מפתח פתוח זה נראה בסדר גמור.
_____________________________________
--
גל דיסקין (gal diskin)

עצות והמלצות:

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה
« לאשכול הקודם | לאשכול הבא »

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
מצב כלאיים מצב כלאיים
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך
קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 23:04

הדף נוצר ב 0.04 שניות עם 10 שאילתות
צור קשר - Fresh - למעלה

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר