1. घर
  2. सवाल और जवाब
  3. डब्ल्यूसीएफ

डब्ल्यूसीएफ

2010-09-06 10 views
24

में रीप्ले हमलों का पता लगाने के लिए वेब फार्म पर्यावरण में साझा कैश का उपयोग करके मैं एक वेब फार्म परिदृश्य में डब्ल्यूसीएफ के साथ एक रीप्ले हमले पहचान तंत्र को कार्यान्वित करने का तरीका जानने का प्रयास कर रहा हूं।डब्ल्यूसीएफ

डब्ल्यूसीएफ एक गैर कैश का उपयोग करके इस तरह की पहचान तंत्र प्रदान करता है। अगर मैं गलत हूं तो मुझे सही करें, लेकिन संदेश सुरक्षा और वेब फार्म परिदृश्य में इस हमले को रोकने के लिए सुनिश्चित करने का एकमात्र तरीका सर्वर पर साझा किए गए एक गैर-कैश का उपयोग करना है।

WSE3.0 में, यह अस्थायी रूप से कैश कस्टम कार्यान्वयन

http://msdn.microsoft.com/en-us/library/ff647945.aspx

प्रदान करना संभव हुआ करता था लेकिन वहाँ, कोई विन्यास विकल्प WCF में ऐसा करना (किसी भी तरह से होना करने के लिए इसके अलावा प्रतीत नहीं होता मुझे रिफ्लेक्टर के साथ मिला कि NonceCache क्लास को सीलबंद और आंतरिक दोनों के रूप में चिह्नित किया गया है ..)

कोई विचार?

स्रोत

2010-09-06 Javi

+0

इसमें रुचि रखने वालों के लिए, मुझे यहां माइक्रोसॉफ्ट से किसी का जवाब मिला है http://social.msdn.microsoft.com/Forums/en-US/netfxnetcom/thread/09fe4fb3-425c-4726- 9959-b8c7131cbe8b? Prof = आवश्यक – Javi

उत्तर

1

सबसे पहले इसके लिए कोई चांदी की गोलियां नहीं हैं। प्रत्येक विकल्प में इसकी कमी है। माइक्रोसॉफ्ट one of two options सिफारिश की गई है: स्टेटफुल सुरक्षा संदर्भ टोकन के साथ

  • उपयोग संदेश मोड सुरक्षा (के साथ या सुरक्षित बातचीत सक्षम बिना)
  • कॉन्फ़िगर सेवा आपकी सेवा हासिल करने जबकि का उपयोग करते हुए परिवहन स्तरीय सुरक्षा

उपयोग करने के लिए परिवहन-स्तर की सुरक्षा मध्य परिदृश्य में आदमी से रक्षा करेगी, यह एक समझौता ग्राहक के खिलाफ आपकी रक्षा नहीं करेगी। तो असल में यह एक मजबूत समाधान नहीं है और stateful security context tokens का उपयोग दोनों का बेहतर तरीका है। विकास और तैनाती के दौरान इसे कुछ विचारों की आवश्यकता होती है।

जैसा कि मैंने अपने पहले के जवाब में कहा था इसके लिए कोई चांदी की गोलियां नहीं हैं। DetReplays, maxClockSkew, replayWindow, और replayCacheSize सेटिंग्स का उपयोग कर एक और विकल्प (जिसे आपने पहले ही माना हो) है। हालांकि मुझे वेबफर्म परिदृश्य में इसकी मजबूती के बारे में निश्चित नहीं है, लेकिन इसे डब्ल्यूसीएफ के अंतर्निहित संचालन के लिए काम करना चाहिए। यहां एक संक्षिप्त article that demonstrates it है। इस विकल्प के साथ दोष तब होता है जब आपके पास सर्वर के लिए अलग-अलग टाइमज़ोन में क्लाइंट होता है तो आपको विफलता मिल जाएगी यदि आपके maxClockSkew टाइमज़ोन मतभेदों की अनुमति देने के लिए सेट नहीं है।

स्रोत

2011-09-29 14:07:18

+0

तथ्य यह है कि लिफाफे में एसटीएस टोकन शामिल है, हमलावर को वेब खेत में संदेशों को दोबारा चलाने से नहीं रोकता है, है ना? – Javi

संबंधित मुद्दे

 संबंधित मुद्दे