Безопасность при вызове веб-службы или ASPX-страницы с паролем
Мне интересно, если у меня есть веб-сервис, как это:
Login(username, password)
или страница как
login.aspx?u=username&p=pass
Если бы они были вызваны из настольного приложения, это было бы более безопасно. Из того, что я прочитал, сниффер может прочитать запрос и выяснить URL. Я ЕСМЬ хэширую пароли перед тем, как помещать их в запрос, но если кто-то увидит URL-адрес запроса со строкой параметров / запроса, то он может сделать запрос с теми же значениями!?
Насколько легко / сложно анализатору определить хешированный пароль? Должен ли я зашифровать пароль и имя пользователя перед вводом в URL и веб-сервис? У меня есть другие варианты?
Я спрашиваю, потому что данные НЕ все эти конфиденциальные, но базовая безопасность должна существовать при минимальных затратах производительности
ПРИМЕЧАНИЕ: SSL не вариант
3 ответа
Используйте SSL для создания уникального токена сеанса через сервис входа в систему. Используйте этот токен сеанса поверх стандартного HTTP для остальных.
Ваш сеанс входа в систему должен будет принять имя пользователя / пароль как POST, иначе значения будут видны в URL-запросе к серверу и, возможно, в сети.
Просто используйте HTTPS для шифрования канала. Таким образом, вам не нужно беспокоиться о снифферах.
Если вы работаете с банком, возможно, вам придется использовать SSL. Проверьте ваше местное законодательство - я думаю, что это также определит, какие конфиденциальные данные.