WCFサービスを使用するSilverlightアプリケーションがあります。ペネトレーションテスト中に、いくつかの問題が見つかりました。提案の1つは、Silverlight側でWCFサービスアドレスをスクランブル/暗号化することです。
これは標準的な方法ですか、それとも何か価値がありますか?サービスが保護されている場合、ユーザーはWCFサービスの場所を知ることで任意の情報を取得できますか。ユーザーはいつでもSilverlightxapを逆コンパイルして、WCFアドレスを暗号化した方法を理解できるためです。
提供するデータ(クライアント側のコードなど)に秘密を隠すことは、悪名高い難しい問題です。基本的に、これはDRMシステムが行おうとしていることであり、ハッカーに強いものはありません。シークレットとそのシークレットを取得するコードの両方を誰かに与えると、誰かがシークレットを理解します。そして、JeffN825が指摘したように、いつでも有線監視ツールを使用してアドレスを把握できます(HTTPSアドレスでは少し難しいですが、それでも可能です)。ですから、私はアドレスを隠すことにあまり力を入れません。それは、攻撃者になるのを遅らせるだけの、隠すことによるセキュリティです。サービスにユーザー認証が必要な場合は、その部分を安全にすることに集中します。ユーザーではなくアプリを認証しようとしている場合、それははるかに難しい問題であり、まったく別の議論が必要ですが、それは