Имеется вебсайт (ASP.NET), этот вебсайт перенаправляет все действия в "фасад", который представляет из себя вебсервис и который содержит всю бизнес-логику, вызовы БД и прочее. Надо как-то гарантировать что только вебсайт сможет обращаться к этому фасаду. Первое что нагугливается — это сертификаты, это я уже прикрутил и вроде работает, с каждым вызовом из вебсайта я передаю сертификат, и без сертификата вызовы не проходят. All good for now. Однако это явно не единственная вещь которая должна быть реализована, например стоит хакерам украсть файл сертификата — и все защита будет аннулирована. Что еще можно тут прикрутить?
Также интересует какая-нибудь литература или ссылки на то, каких образом хакеры могут ломануть IIS для извлечения этого сертификата, или файлов самого сервиса, ведь это все находиться просто в папках проекта, стоит их утянуть — и вообще вся система будет как на ладони