1

クライアント用のWebサービスを作成し、PasswordDigest(タイムスタンプ、ナンス、暗号化されたパスワード)を使用したユーザー名トークンを使用して保護しました。クライアントの1つは、PasswordDigestをサポートせず、プレーンテキストのユーザー名とパスワードのみをサポートするソフトウェアを使用しています。

SOAP-Headerのプレーンテキストのパスワードには少し不快感を覚えます。ただし、トラフィック全体はHTTPSを使用して保護されています。

私の質問:HTTPSを使用すると、セキュリティ要件をPasswordDigestからPasswordTextに変更しても、十分に安全ですか?

私の要件は次のとおりです。

  • どのクライアントがWebサービスにアクセスしているかを知る必要があるため、クライアントはユーザー名で認証される必要があります。
  • 中間者は、SOAPヘッダーにプレーンテキストのパスワードを表示してはなりません。
4

2 に答える 2

0

を使用している場合は、を削除して使用できるHTTPS可能性がありますが、セキュリティで保護されていないリクエストをサポートしないようにする必要があります。PasswordDigestPasswordText

于 2012-10-11T09:31:36.383 に答える
0

また、SOAPのWS-Security拡張機能を調べることもできます。

質問については、HTTPSでクリアテキストのパスワードを使用することを恐れませんが、@ Anshuが言うように、サービスがHTTPで応答しないことを確認してください。また、企業のプロキシがHTTPSトラフィックに対してMitMの「攻撃」を効果的に実行することは技術的に可能であり、よく見られることに注意してください...

乾杯、

于 2012-10-11T09:36:40.813 に答える