2

JMS (ActiveMQ) をログオン サービスとして使用して、Request-Reply パターンを実装しています。それはすべてうまくいきます。メッセージでユーザー名とパスワードを送信し、暗号化されたバージョンのパスワードをデータベースの暗号化でチェックします。この部分にはJASPYTを使用しています。

私の心配は、暗号化されていないパスワードを JMS 経由で送信することです。そのような慣行でセキュリティ上の妥協に直面することはありますか? 残念ながら、JASPYTライブラリでは、ダイジェストを別のダイジェストと比較することはできず、元のパスワードと保存されたダイジェストのみを比較できます。そのため、ネットワーク経由でパスワードを送信しています。

メッセージが傍受され、ユーザー名/パスワードが侵害される可能性はありますか? JMS が私の実装または RR であると仮定して、これを行うためのより安全な方法はありますか?

ご協力いただきありがとうございます。

4

2 に答える 2

1

http 経由でパスワードを送信する場合と同様に、SSL を使用してトランスポート チャネルを保護する必要があります。

ActiveMQ と SSL

于 2013-05-23T06:29:12.687 に答える
1

暗号化されていないパスワードをネットワーク経由で送信することに懸念がある場合は、何らかのソルティング スキームの使用を検討する必要があります。

Petter が示唆するように、SLL は、ネットワーク上でパスワードが盗聴されないようにするための手段です。クライアント (プロデューサー) とサービス (コンシューマー) の両方に実装する必要があります。

ActiveMQ には、ブローカー レベルでメッセージを盗聴できる特定の機能 (仮想/複合宛先ミラー化されたキュー) がありますが、これらにはブローカー構成の変更が必要です。構成がロックダウンされている限り、問題は発生しないはずです。

于 2013-05-24T07:59:55.933 に答える