безопасность при вызове веб-службы или ASPX-страницы с паролем

Question

Мне интересно, есть ли у меня веб-сервис, подобный этому:

Login(username, password)

или страница типа

login.aspx?u=username&p=pass

Если бы они были вызваны из настольного приложения, которое было быболее безопасный.Из того, что я прочитал, сниффер может прочитать запрос и выяснить URL. Я хеширую пароли перед тем, как поместить их в запрос, но если кто-то увидит URL-адрес запроса со строкой / строкой запроса, то он может сделать запрос с теми же значениями!?

КакЛегко / сложно ли анализатор выяснить хешированный пароль?Должен ли я зашифровать пароль и имя пользователя перед вводом в URL и веб-сервис?Любые другие варианты, которые у меня есть?

Я спрашиваю, потому что данные НЕ настолько чувствительны, но базовая безопасность должна существовать при минимальных затратах производительности

ПРИМЕЧАНИЕ: SSL НЕ является опцией

Answer 1

Используйте SSL для создания уникального токена сеанса через сервис входа в систему.Используйте этот токен сеанса поверх стандартного HTTP для остальных.

Ваш сеанс входа в систему должен принять имя пользователя / пароль в качестве POST, в противном случае значения будут видны в URL-запросе к серверу и возможном отслеживании в сети.

Answer 2

Просто используйте HTTPS для шифрования канала. Таким образом, вам не нужно беспокоиться о снифферах.

Answer 3

Если вы работаете с банком, возможно, вам придется использовать SSL. Проверьте ваше местное законодательство - я думаю, что это также определит, какие конфиденциальные данные.