Toon posts:

[WCF] Service security

Pagina: 1
Acties:

Onderwerpen

Wcf

maandag 30 mei 2011 13:32

Acties:
  • 0Henk 'm!
  • Phyxion
  • Registratie: April 2004
  • Laatst online: 09-06 19:25

Phyxion

_/-\o_

Topicstarter
Ik wil graag een WCF (data) service aanmaken echter wil ik niet dat elke willekeurige applicatie hier verbinding mee kan maken. Nu staan er op MSDN een aantal methodes om dit te blokkeren maar zover mij duidelijk werd hebben alle methodes SSL certificates nodig. Echter heb ik alleen FTP toegang tot het systeem en kan ik niet certficates genereren op de host. Een andere oplossing was om username en password in de headers mee te sturen maar aangezien alles dan static is kan dit eenvoudig gesniffed worden zodat andere applicaties hier met de gesnifte gegevens ook nog verbinding mee kunnen maken. Ik had al even op Google e.d. gezocht maar ik kon niet echt andere oplossingen vinden. Zijn er ook manieren om een service te limiten tot een enkele client met de bovengenoemde limitaties?

'You like a gay cowboy and you look like a gay terrorist.' - James May

maandag 30 mei 2011 13:33

Acties:
  • 0Henk 'm!
  • RobIII
  • Registratie: December 2001
  • Laatst online: 03:20

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Simpelste: gewoon in IIS (of de WCF service zelf) limiteren op 1 ip :?

[Voor 21% gewijzigd door RobIII op 30-05-2011 13:33]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Roses are red Violets are blue, Unexpected ‘{‘ on line 32.

Over mij

maandag 30 mei 2011 13:36

Acties:
  • 0Henk 'm!
  • Phyxion
  • Registratie: April 2004
  • Laatst online: 09-06 19:25

Phyxion

_/-\o_

Topicstarter
RobIII schreef op maandag 30 mei 2011 @ 13:33:
Simpelste: gewoon in IIS (of de WCF service zelf) limiteren op 1 ip :?
Nee, er moeten wel meerdere clients tegelijk verbinding mee kunnen maken, echter wil ik niet dat iemand anders een andere client gaat schrijven voor de service.

'You like a gay cowboy and you look like a gay terrorist.' - James May

maandag 30 mei 2011 13:40

Acties:
  • 0Henk 'm!
  • CodeCaster
  • Registratie: Juni 2003
  • Niet online

CodeCaster

Can I get uhm...

Simpel zat: zolang je het verkeer niet versleutelt, zal elke methode gesniffed kunnen worden. Je kunt zelf een challenge/response-implementatie gaan schrijven, of gewoon even een certificaat (laten) genereren.

https://oneerlijkewoz.nl
I have these thoughts / so often I ought / to replace that slot / with what I once bought / 'cause somebody stole my car radio / and now I just sit in silence

maandag 30 mei 2011 13:41

Acties:
  • 0Henk 'm!
  • Snake
  • Registratie: Juli 2005
  • Laatst online: 26-05 18:56

Snake

Los Angeles, CA, USA

Bij het opzetten van de sessie een unique id laten meegeven, en die kunnen ze dan laten genereren op een van jouw pagina's. En dan kan jij mooi bijhouden hoeveel mensen er een key hebben.

Going for adventure, lots of sun and a convertible! | GMT-8

maandag 30 mei 2011 13:42

Acties:
  • 0Henk 'm!
  • CodeCaster
  • Registratie: Juni 2003
  • Niet online

CodeCaster

Can I get uhm...

... en dan leest Jantje de key van Pietje uit het netwerkverkeer, en kan hij alsnog bij de service. Of, als het om Jantje gaat die een eigen client wil implementeren (want: geen reclame, of bruikbaar op een ander platform, of ...), dan snifft Jantje gewoon het verkeer van een legitieme client op z'n eigen PC en bouwt op basis van de gesniffte data (endpoint en credentials / ID) een eigen client.

[Voor 60% gewijzigd door CodeCaster op 30-05-2011 13:45]

https://oneerlijkewoz.nl
I have these thoughts / so often I ought / to replace that slot / with what I once bought / 'cause somebody stole my car radio / and now I just sit in silence

maandag 30 mei 2011 13:46

Acties:
  • 0Henk 'm!
  • RobIII
  • Registratie: December 2001
  • Laatst online: 03:20

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Dan kun je nog eens gaan kijken naar een Challenge/Response systeem. Dat is denk ik as close as it gets.

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Roses are red Violets are blue, Unexpected ‘{‘ on line 32.

Over mij

maandag 30 mei 2011 13:48

Acties:
  • 0Henk 'm!
  • Phyxion
  • Registratie: April 2004
  • Laatst online: 09-06 19:25

Phyxion

_/-\o_

Topicstarter
CodeCaster schreef op maandag 30 mei 2011 @ 13:42:
... en dan leest Jantje de key van Pietje uit het netwerkverkeer, en kan hij alsnog bij de service.
Precies.
CodeCaster schreef op maandag 30 mei 2011 @ 13:40:
Simpel zat: zolang je het verkeer niet versleutelt, zal elke methode gesniffed kunnen worden. Je kunt zelf een challenge/response-implementatie gaan schrijven, of gewoon even een certificaat (laten) genereren.
Ik heb helaas geen mogelijkheid om een certficaat te (laten) genereren. Echter, zolang alles hetzelfde is wat overgestuurd wordt kan dat natuurlijk eenvoudig gesniffed worden en zit je met hetzelfde probleem.

'You like a gay cowboy and you look like a gay terrorist.' - James May

maandag 30 mei 2011 13:52

Acties:
  • 0Henk 'm!
  • riezebosch
  • Registratie: Oktober 2001
  • Laatst online: 07-04 15:43

riezebosch

Kan je niet een scriptje maken wat op de server een certificaat maakt + installeert?

Canon EOS 400D + 18-55mm F3.5-5.6 + 50mm F1.8 II + 24-105 F4L + 430EX Speedlite + Crumpler Pretty Boy Back Pack

maandag 30 mei 2011 13:59

Acties:
  • 0Henk 'm!
  • Phyxion
  • Registratie: April 2004
  • Laatst online: 09-06 19:25

Phyxion

_/-\o_

Topicstarter
riezebosch schreef op maandag 30 mei 2011 @ 13:52:
Kan je niet een scriptje maken wat op de server een certificaat maakt + installeert?
Zoals vermeld heb ik alleen maar FTP toegang en meer rechten heb ik helaas niet.

'You like a gay cowboy and you look like a gay terrorist.' - James May

maandag 30 mei 2011 14:09

Acties:
  • 0Henk 'm!
  • Caelorum
  • Registratie: April 2005
  • Laatst online: 07:59

Caelorum

Een andere host zoeken dan?

maandag 30 mei 2011 14:13

Acties:
  • 0Henk 'm!
  • Phyxion
  • Registratie: April 2004
  • Laatst online: 09-06 19:25

Phyxion

_/-\o_

Topicstarter
Caelorum schreef op maandag 30 mei 2011 @ 14:09:
Een andere host zoeken dan?
Helaas is dat nog geen optie op dit moment ;(

'You like a gay cowboy and you look like a gay terrorist.' - James May

maandag 30 mei 2011 14:24

Acties:
  • 0Henk 'm!
  • Herko_ter_Horst
  • Registratie: November 2002
  • Niet online

Herko_ter_Horst

Waterdicht ga je dit niet krijgen en als je het al oplost, krijg je een "wapenwedloop". Als dit makkelijk op te lossen was, hadden consolebouwers ook geen problemen met het uitsluiten van gehackte consoles.

De afweging is: hoe belangrijk is het nou echt en hoeveel effort (tijd/geld) wil je er in steken?

"Any sufficiently advanced technology is indistinguishable from magic."

maandag 30 mei 2011 14:27

Acties:
  • 0Henk 'm!
  • Woy
  • Registratie: April 2000
  • Niet online

Woy

Moderator Devschuur®
In principe moet het volgens mij ook best mogelijk zijn om een Certificaat uit een andere store te laden. Je kunt dan dus gewoon een certificaat maken, en die uploaden via FTP. Je moet dan alleen wat code schrijven om het juiste certificaat te laden.

Afhankelijk van hoe het systeem werkt kun je natuurlijk ook met Client certificaten gaan werken.

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

maandag 30 mei 2011 14:32

Acties:
  • 0Henk 'm!
  • Phyxion
  • Registratie: April 2004
  • Laatst online: 09-06 19:25

Phyxion

_/-\o_

Topicstarter
Herko_ter_Horst schreef op maandag 30 mei 2011 @ 14:24:
Waterdicht ga je dit niet krijgen en als je het al oplost, krijg je een "wapenwedloop". Als dit makkelijk op te lossen was, hadden consolebouwers ook geen problemen met het uitsluiten van gehackte consoles.

De afweging is: hoe belangrijk is het nou echt en hoeveel effort (tijd/geld) wil je er in steken?
Het is in principe belangrijk dat het niet zomaar beschikbaar is voor iedereen, echter bevat het geen persoonlijke data.
Woy schreef op maandag 30 mei 2011 @ 14:27:
In principe moet het volgens mij ook best mogelijk zijn om een Certificaat uit een andere store te laden. Je kunt dan dus gewoon een certificaat maken, en die uploaden via FTP. Je moet dan alleen wat code schrijven om het juiste certificaat te laden.

Afhankelijk van hoe het systeem werkt kun je natuurlijk ook met Client certificaten gaan werken.
Dat klinkt wel interessant als dat mogelijk is, dan moet het ook mogelijk zijn om de SSL encryptions e.d. te gebruiken op MSDN lijkt mij.

'You like a gay cowboy and you look like a gay terrorist.' - James May

maandag 30 mei 2011 14:38

Acties:
  • 0Henk 'm!
  • Woy
  • Registratie: April 2000
  • Niet online

Woy

Moderator Devschuur®
Phyxion schreef op maandag 30 mei 2011 @ 14:32:
[...]
Dat klinkt wel interessant als dat mogelijk is, dan moet het ook mogelijk zijn om de SSL encryptions e.d. te gebruiken op MSDN lijkt mij.
Het is wel een beetje afhankelijk van hoe het een en ander geconfigureerd is. Als het HTTPS activation is, dan word het certificaat compleet door IIS geregeld ( Maar daar heb jij blijkbaar geen toegang toe, want anders had je geen probleem gehad ;) ). Bij net.tcp of http activation zou het wel mogelijk moeten zijn om zelf je certificaat te laden ( d.m.v. een behavior of een custom ServiceHostFactory ). Client Certificates is natuurlijk weer een ander verhaal.

[Voor 24% gewijzigd door Woy op 30-05-2011 14:57]

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

maandag 30 mei 2011 20:05

Acties:
  • 0Henk 'm!
  • riezebosch
  • Registratie: Oktober 2001
  • Laatst online: 07-04 15:43

riezebosch

The Code Project: http://www.codeproject.com/KB/WCF/wcfcertificates.aspx. Over het laden van certificaten vanaf schijf.

Canon EOS 400D + 18-55mm F3.5-5.6 + 50mm F1.8 II + 24-105 F4L + 430EX Speedlite + Crumpler Pretty Boy Back Pack

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee