Как предотвратить добавление SoapExtensions в мое приложение веб-службы?

Question

Кажется, что любой может отследить входящие / исходящие сообщения SOAP веб-службы .NET, просто поместив простое SoapExtension в папку bin и затем подключив его с помощью:

<soapExtensionTypes>
  <add type="MyLoggingSoapExtension, SoapLoggingTools" priority="0" group="High" />
<soapExtensionTypes>

Есть ли способ предотвратить загрузку расширений SOAP или спросить в моем приложении (через событие или какой-либо другой механизм), нормально ли загружать?

@ Херст: спасибо за ответ. Я знаю о шифровании на уровне сообщений / WS-Security и надеялся, что не придется идти по этому пути. У нас есть классические клиенты ASP, использующие сервис, и это открывает маленький мир боли. На сайте, где запущен веб-сервис, есть сертификаты SSL, но я надеялся, что смогу отговорить клиента не работать с мыльными расширениями, поскольку у них есть разработчики, которые имеют некоторую возможность «играть».

Answer 1

Я не уверен, что вы подразумеваете под расширениями и папками bin (я думаю, вы используете .NET), поэтому я не могу ответить об их загрузке и т. Д.

Однако обратите внимание, что SOAP предназначен для того, чтобы посредники могли читать заголовки и даже изменять их. (Выполните поиск «SOAP Активные посредники»). Исходя из этого, я ожидаю, что у технологии не будет причин избегать отслеживания путем предотвращения чтения кода SOAP .

Правильный способ защитить себя - использовать « защита на уровне сообщений ». (Это отличается от безопасности транспортного уровня , такой как SSL, которая не защищает от посредников). Другими словами, перед отправкой шифруйте свои собственные сообщения.

Одним из доступных стандартов, используемых для реализации механизмов безопасности на уровне сообщений, является протокол WS-Security . Это позволяет настроить шифрование на полезную нагрузку и соответствующие заголовки независимо от транспорта. Это сложнее, но именно так вы бы ограничивали доступ.

Answer 2

Полностью согласен с @Hurst - если вы хотите запретить другим пользователям читать ваши сообщения, вам необходимо использовать шифрование на уровне сообщений. В противном случае даже простой NetMon может взломать проводной трафик.

Конечно, если кто-то имеет доступ к машине (если есть доступ к / bin и т. Д.), Даже криптографии может быть недостаточно для предотвращения прослушивания с использованием отладчиков, например. читать в памяти представления сообщения после расшифровки.

При физическом доступе к автомату - все ставки отключены.