私が書いているSilverlightアプリケーションでのMITM攻撃に関心があります。サイトはSSL経由で実行されます。私のサイトがMITM攻撃の被害者である場合、私が知る限り、現時点での唯一の防御策は、サイトの証明書が信頼できない場合にブラウザに表示される警告ページです。これはブラウザにすぎないため、ユーザーに警告してから、とにかくユーザーに許可するのが最善の方法です。ユーザーはクリックして幸せになることができ、物事を読まない傾向があります。したがって、彼らはこの警告を読み、頭をかいて、サイトに進む可能性があります。私は堅牢なSilverlightアプリケーションを作成しているので、ブラウザーで証明書エラーが発生しているかどうかを検出するか、ブラウザーが実行するのと同じ検証を実行できるはずだと考えました。次に、問題があると判断した場合は、ユーザーがMITMに重要な情報を公開しないように、アプリ全体をロックダウンするだけです。私が抱えている問題は、Silverlightの限られたサブセットの.NETで、必要なことを実行するための適切なクラスが見つからないように見えることです。誰かが私がこの目標を達成する方法、またはこの問題を回避する別の方法を知っていますか?
1021 次
2 に答える
0
私の知る限り、これは不可能です。Silverlightはブラウザーのネットワークスタックを使用しているため、ネットワークの警告とセキュリティインフラストラクチャに依存しています。
Silverlight 3は新しいネットワークスタックを追加しましたが、一般的に同じことが当てはまると思います。ホストサーバーの証明書は.xap(Silverlightアプリケーション)がブラウザーによってダウンロードされたときに検証され、コードで確認または操作できるものではありません。
于 2009-08-17T19:53:52.563 に答える
0
IMHOブラウザはSSLリクエスト後に証明書のコピーを保存するため、ローカルに保存されている証明書を確認できます。この記事をチェックしてください。それがあなたにいくつかのヒントを与えることを願っています
于 2009-08-17T19:59:21.867 に答える