我的wcf应用程序中是否存在安全错误?
本文关键字:安全 错误 存在 是否 wcf 应用程序 我的 | 更新日期: 2023-09-27 18:04:42
我对SOA应用程序进行了wcf用户名/密码身份验证。安全模型为Message,密钥为x509证书加密的RSA 4096位。每个客户端在配置文件中都有相同的键
<certificate encodedValue="VeryVeryBigRsaKey />
我很好奇,如果例如一个应用程序用户,拥有VeryVeryBigRsaKey可以嗅探其他用户的数据包,共享相同的密钥(VeryVeryBigRsaKey)。如果是,我认为这是一个非常严重的问题,我必须将安全模型更改为TransportWithMessageCredential。
编辑:
我使用pluralsight self cert生成我的密钥,并将其导出为*。base64编码的cer文件。并打开生成*。然后就得到了rsa密钥(VeryVeryBigRsaKey):)
我想你的意思是你使用UserName凭证类型和<证书>用于识别服务器,以便客户端可以信任它从正确的服务器获取消息。
如果另一个用户想要嗅探这个包,他需要只有真实服务器拥有的服务器证书。
所以,你的担心是多余的。
我认为您引用的配置是在端点标识元素中。如果是这样,则表示服务的标识,客户端堆栈将在与服务器通信之前检查该标识。因此,它必须在每个客户端上都是相同的。
用于保护消息流量的密钥来自客户端凭据。您基于此证书身份的恐惧是毫无根据的。
我确信WCF中存在安全漏洞,但这不是它。
证书用于
a)验证服务器
B)加密客户端生成的对称密钥并将其发送到服务器
其他客户端无法闯入。