Безопасная передача с использованием UserName и HTTPS. Клиент и служба WCF должны быть разработаны для работы по Интернету. Подлинность учетных данных клиента проверяется по базе данных, содержащих пары "имя пользователя-пароль". Служба разворачивается по адресу HTTPS с использованием доверенного SSL-сертификата. Так как сообщения передаются по Интернету, необходима взаимная проверка подлинности клиента и службы, и во время передачи необходимо сохранение конфиденциальности и целостности сообщений.
Безопасная передача с помощью сертификатов. Клиент и служба WCF должны быть разработаны для работы по открытому Интернету. Как клиент, так и служба имеют сертификаты, которые можно использовать для обеспечения безопасности сообщений. Клиент и служба используют Интернет для взаимодействия друг с другом и для выполнения ценных транзакций, требующих целостности и конфиденциальности сообщений, а также взаимной проверки подлинности.
Нафиг мне взаимная проверка подлиности? Можно ли обойтись без сертификатов на клиенте? И желательно на сервере тоже.
Здравствуйте, _d_m_, Вы писали:
___>Нафиг мне взаимная проверка подлиности? Можно ли обойтись без сертификатов на клиенте? И желательно на сервере тоже.
Просто отключите проверку сертификата сервера на клиенте. тогда, данные будут формально шифроваться но, останется возможность подмены сервера.
Если у Вас нет паранойи, то это еще не значит, что они за Вами не следят.
___>Безопасная передача с использованием UserName и HTTPS. Клиент и служба WCF должны быть разработаны для работы по Интернету. Подлинность учетных данных клиента проверяется по базе данных, содержащих пары "имя пользователя-пароль". Служба разворачивается по адресу HTTPS с использованием доверенного SSL-сертификата. Так как сообщения передаются по Интернету, необходима взаимная проверка подлинности клиента и службы, и во время передачи необходимо сохранение конфиденциальности и целостности сообщений.
___>Безопасная передача с помощью сертификатов. Клиент и служба WCF должны быть разработаны для работы по открытому Интернету. Как клиент, так и служба имеют сертификаты, которые можно использовать для обеспечения безопасности сообщений. Клиент и служба используют Интернет для взаимодействия друг с другом и для выполнения ценных транзакций, требующих целостности и конфиденциальности сообщений, а также взаимной проверки подлинности.
___>Нафиг мне взаимная проверка подлиности? Можно ли обойтись без сертификатов на клиенте? И желательно на сервере тоже.
Смотря что вы хотите получить от канала передачи данных.
Если вам не нужна защита — используйте HTTP. Если только шифрование — HTTPS без клиентских сертификатов или HTTP с шифрованием пакета WCF. Если ещё и проверка подлинности — HTTPS со всеми наворотами.
Мне кажется, в наше время опция "только шифрование без проверки подлинности сервера" нужна редко.
Здравствуйте, vmpire, Вы писали:
___>>Нафиг мне взаимная проверка подлиности? Можно ли обойтись без сертификатов на клиенте? И желательно на сервере тоже. V>Смотря что вы хотите получить от канала передачи данных. V>Если вам не нужна защита — используйте HTTP. Если только шифрование — HTTPS без клиентских сертификатов или HTTP с шифрованием пакета WCF. Если ещё и проверка подлинности — HTTPS со всеми наворотами. V>Мне кажется, в наше время опция "только шифрование без проверки подлинности сервера" нужна редко.
Объясню подробно и сразу всем.
1. Ценность данных есть, но это не кредитки.
2. Даже в случае оплаты по кредиткам нам не надо устанавливать сертификат на клиент. Ведь так?
3. Атака man in middle маловероятна из-за низкого профита затрат атаки и полученного результата.
4. У нас есть адрес сервера, это железно. Мы не находим наш сервак поиском в гугле и т.п. Нафиг проверка подлиности сервера?
5. Если уж клиент захочет особой секурности — да пожалуйста: VPN, SSH — только зачем мне гемор в службах WCF?
PS: Технолгия в принципе для меня еще не освоенна, просьба выражаться не общими фразами, а кусками конфигов. До этого делал приложения WCF только по named pispes и без конфигов — все программно, т.к. там конфиги не нужны были в принципе.
Здравствуйте, _d_m_, Вы писали:
___>>>Нафиг мне взаимная проверка подлиности? Можно ли обойтись без сертификатов на клиенте? И желательно на сервере тоже. V>>Смотря что вы хотите получить от канала передачи данных. V>>Если вам не нужна защита — используйте HTTP. Если только шифрование — HTTPS без клиентских сертификатов или HTTP с шифрованием пакета WCF. Если ещё и проверка подлинности — HTTPS со всеми наворотами. V>>Мне кажется, в наше время опция "только шифрование без проверки подлинности сервера" нужна редко.
___>Объясню подробно и сразу всем. ___>1. Ценность данных есть, но это не кредитки. ___>2. Даже в случае оплаты по кредиткам нам не надо устанавливать сертификат на клиент. Ведь так?
Так, но если сертификат настоящий. Если сертификат самоподписанный и не хочется получать предупреждения на клиенте — нужно ставить на него серверный сертификат. ___>3. Атака man in middle маловероятна из-за низкого профита затрат атаки и полученного результата. ___>4. У нас есть адрес сервера, это железно. Мы не находим наш сервак поиском в гугле и т.п. Нафиг проверка подлиности сервера?
Ну так, если не нужна — не используйте! Вам решать. что вам нужно.
Кстати, вы много написали, что Вам НЕ нужно, но так и не сказали, что же хотите получить.
___>5. Если уж клиент захочет особой секурности — да пожалуйста: VPN, SSH — только зачем мне гемор в службах WCF?
___>PS: Технолгия в принципе для меня еще не освоенна, просьба выражаться не общими фразами, а кусками конфигов. До этого делал приложения WCF только по named pispes и без конфигов — все программно, т.к. там конфиги не нужны были в принципе.
Кусков конфигов полно в MSDN. Например, http://msdn.microsoft.com/en-us/library/ms734663.aspx, http://msdn.microsoft.com/en-us/library/ms788755.aspx
Re[3]: [WCF] Интернет клиент без сертификатов
От:
Аноним
Дата:
23.01.12 08:52
Оценка:
Здравствуйте, _d_m_, Вы писали:
___>3. Атака man in middle маловероятна из-за низкого профита затрат атаки и полученного результата.
ну конечно, даже касперский вставет посередине и слушает SSL трафик... особенно с самоподписаными сертификатами.
___>4. У нас есть адрес сервера, это железно. Мы не находим наш сервак поиском в гугле и т.п. Нафиг проверка подлиности сервера?
а кто мешает представиться вашим сервисом? хоть по DNS имени (что проще). хоть по подмене айп-адреса. и все сливать с клиентов.
___>5. Если уж клиент захочет особой секурности — да пожалуйста: VPN, SSH — только зачем мне гемор в службах WCF?
это не гемор, это есть стандарт. это есть четкий инструмент для вполне конкретной задачи.
___>PS: Технолгия в принципе для меня еще не освоенна, просьба выражаться не общими фразами, а кусками конфигов. До этого делал приложения WCF только по named pispes и без конфигов — все программно, т.к. там конфиги не нужны были в принципе.
там нчиего сверхсложного нет.
