Question

У меня есть веб-приложение, которое передает ключ аутентификации веб-службам в целях безопасности. во избежание атак типа «человек посередине» IP-адрес каждого запроса сравнивается с IP-адресом из первоначального запроса аутентификации. Однако при доступе с компьютера, который использует прокси-сервер, IP-адрес не обязательно совпадает. Что я могу сделать, чтобы избежать этой проблемы?

ShuggyCoUk · Answer 1 · 13 февраля 2009

IP-адреса легко подделываются, так что это не очень полезная защита.

При попытке реализовать защиту на уровне протокола всегда используйте кого-то другого, хорошо проверенного и рассуждавшего о дизайне (и, предпочтительно, о реализации), по сравнению с вашим собственным, если причины для этого не являются убедительными.

http://en.wikipedia.org/wiki/WS-Security существует, и простого использования всей цепочки https должно быть достаточно для ваших нужд (при условии, что издержки безопасности не являются проблемой).

Myrtleoturtle · Answer 2 · 13 февраля 2009

Полагаю, самый простой подход - использовать SSL.

Если вы не можете использовать SSL, вы можете использовать XMLSigniture, который по крайней мере позволит вам обнаружить, было ли сообщение изменено. Вот хорошая статья об использовании этого в Java:

http://java.sun.com/developer/technicalArticles/xml/dig_signature_api/

избегать атак «человек посередине» при использовании прокси

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

избегать атак «человек посередине» при использовании прокси

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов