しばらく前に、サイト証明書/SSL を持たない顧客用のサイトを作成しました。これは、基本的な asp_net ログイン システムを備えているだけです。
このサイトからは何も購入できず、個人情報は保持されません。在庫が表示され、ユーザーが電話して株を購入できる電話番号が提供されるだけです。
私たちのユーザーの 1 人は独自のシステムを持っており、WebService を介して少しの情報を取得したいと考えています。ユーザー名、パスワード、および ID を受け取り、システムに情報を返す WebMethod を使用して WebService を配置するだけのつもりでした。
開発者の 1 人は、ユーザー名とパスワードを使用した WebMethod 呼び出しは、サイトのログイン システムよりもはるかに安全性が低いため、これによりシステムの安全性が大幅に低下すると述べています。
この WebMethod 呼び出しは、サイトのログイン システムよりも安全性が低いのでしょうか?
WebService ファイルには混合モード認証を使用できます。
次の手順に従ってください。
<location path="webserice.svc">
<system.web>
<authorization>
<allow users="*"/>
</authorization>
</system.web>
</location>
localhost.MyWebService myService = new localhost.MyWebService();
System.Net.CredentialCache myCredentials = new System.Net.CredentialCache();
NetworkCredential netCred = new NetworkCredential("UserName", "Password");
myCredentials.Add(new Uri(myService.Url), "Basic", netCred);
myService.Credentials = myCredentials;
Webサービスの呼び出し時にSSLが使えると良い
これはすべて、そのパスワード データをどのように受け入れるかによって異なります。パスワードのプレーンテキストをネットワーク経由で送信しないようにする必要があります。これを行うには、次の種類のパターンを使用します。
一般に、プレーン テキストのパスワードは、その内容に関係なくネットワーク経由で送信するべきではありません。バイナリ、SOAP、Web サービス、http など。送信された場合、誰かがそれを盗聴できます。Wireshark を 1 回キャプチャするだけで、すべてのデータが危険にさらされます。
すでに有線暗号化を行っている場合、それがどのように安全性が低いかわかりません。誰が誰であるかがわかるように、何らかのハンドシェイクも追加した方がよいでしょう。または、IP ソースが正しいトークンを送信できなかった場合にリクエストのレート制限を確実に行うためにそれができない場合は、それを行うことをお勧めします。これは、ユーザーが適切な試行回数内にログインしない場合に UI をロックアウトするようなものです。
中間者攻撃を防ぐため、SSL を追加することもお勧めします。
私はセキュリティの専門家ではありませんが、セキュリティとは層に関するものだということは知っています。トラフィックを暗号化する、プレーンテキストを送信しない、ポートを閉じる、アクセス許可を管理する、パスワードをハッシュする、ハンドシェイクを行う、認証試行を制限する、大量のログを取得するなど。