2

Python/wxPythonを使用して一元化されたデスクトップアプリケーションを構築しています。要件の1つは、LDAPを使用して実装しようとしているユーザー認証です(これは必須ではありませんが)。

システムのユーザーは予算を立てる機械および電気エンジニアであり、最大の問題は産業スパイです。リークは一般的に非公式な方法で下から発生するという一般的な問題であり、これは問題を引き起こす可能性があります。このシステムは、すべてのユーザーが必要なすべての情報にのみアクセスできるように設定されているため、プロジェクト全体の金銭情報を持っているのはトップの人だけです。

問題は、認証システムを実装するために考えることができるすべての方法で、Pythonのオープン性により、システムから適切な情報をバイパス/取得する方法を少なくとも1つ考えさせることです。これは、「コンパイル」py2exeが難読化に最も近いためです。 Windows上のコードの。

私は実際にコードを隠そうとしているのではなく、認証ルーチンをそれ自体で安全にし、コードへのアクセスがアプリケーションへのアクセス機能を意味しないようにします。私が追加したかったことの1つは、アクセスルーチンへのある種のコード署名でした。これにより、ユーザーは変更されたクライアントアプリを実行していないことを確認できます。

これを回避するために私が考えた方法の1つはC、認証用のモジュールを作成することですが、そうする必要はありません。

もちろん、この質問は現在変化しており、「Pythonで実行される安全な認証システムを構築する方法について、誰かが私を正しい方向に向けることができますか?このようなものはすでに存在しますか?」だけでなく、「スクリプトをどのように強化しますか?」 (Python)不正な変更に対して?」

4

2 に答える 2

3

ユーザーはどの程度悪意がありますか?本当に。

正確にどれほど悪意がありますか?

ユーザーが邪悪な社会人であり、デスクトップソリューションで信頼できない場合は、デスクトップソリューションを構築しないでください。Webサイトを構築します。

ユーザーが一般ユーザーの場合、(a)Pythonを学び、(b)セキュリティの仕組みを学び、(c)で真摯に取り組む前に、ポルノサイトからウイルス、マルウェア、キーロガーをインストールして環境を台無しにします。それを壊します。

実際にデスクトップのセキュリティの問題(つまり、公安、軍隊など)がある場合は、デスクトップの使用を再考してください。

それ以外の場合は、リラックスして正しいことを行い、「スクリプト」について心配する必要はありません。

人々は怠惰でSQLインジェクションを許可しているため、C++プログラムはハッキングが容易です。

于 2009-09-02T01:07:36.417 に答える
1

おそらく:

  1. ユーザーは自分の資格情報をデスクトップクライアントに入力します。
  2. クライアントはサーバーに「こんにちは、私の名前のユーザー名と私のパスワードはパスワードです」と言います。
  3. サーバーはこれらをチェックします。
  4. サーバーはクライアントに「こんにちは、ユーザー名。これがあなたの秘密のトークンです:...」と言います。
  5. その後、クライアントはユーザー名とともにシークレットトークンを使用して、サーバーとの通信に「署名」します。
于 2009-09-02T00:53:33.990 に答える