Нужно ли защищать свой веб-сервис?

Question

Если бы я должен был разместить веб-сервис на том же компьютере, что и мой веб-сайт, и передать ему конфиденциальную информацию, нужно ли мне вызывать его с помощью https?

Например, я бы сослался на него с помощью localhost, поэтому эта информация не будет безопасной, поскольку она не передается по небезопасному каналу?

РЕДАКТИРОВАТЬ: я должен отметить, что этот веб-сервис не будет доступен из внешнего мира.

Спасибо

Answer 1

Да, если к вашей службе обращаются как http://localhost,, то по сети никакая информация не будет передаваться, поэтому https не требуется.

Answer 2

Я не думаю, что существуют какие-либо реалистичные сценарии, в которых использование https для локальной связи может защитить вас от успешной атаки.

Злоумышленник может изменить файл хостов так, чтобы localhost теперь указывал на удаленный хост, у которого не было бы правильного сертификата - но если у него есть доступ к файловой системе, он, вероятно, также может получить ваш сертификат.

Answer 3

Я думаю, что ответ, который вы получили от группы, довольно однозначен: «Нет, SSL не нужен».

Возможно, мы сможем оказать дополнительную помощь, если поймем, что вы пытаетесь сделать. Есть ли какая-то конкретная причина, по которой вы решили нести расходы на связь на основе сокетов, даже если это просто возврат к вашей собственной машине?

Некоторые технологии (например, Windows Communications Foundation) позволяют использовать тот же сервис, который вы создали, и получать к нему доступ по именованным каналам вместо выполнения HTTP-вызова. Если подобные технологии не используются, есть ли причина, по которой вы бы не рассматривали альтернативы, такие как внутрипроцессный вызов? По сути, помогите нам понять, почему вы делаете это, чтобы мы могли оказать дальнейшую помощь.

Answer 4

Наверное, нет, если ваш компьютер защищен ... если это не так, то ничто не безопасно