мне интересно, если у меня есть веб-службы, как это:безопасности при вызове страницы WebService или ASPX с паролем
Login(username, password)
или страницу как
login.aspx?u=username&p=pass
Если бы они были вызваны из настольное приложение, которое было бы более безопасным. Из того, что я читал, сниффер может прочитать запрос и выяснить URL. I AM hashing пароли перед тем, как поместить их в запрос, но если кто-то увидит URL-адрес запроса с помощью строки params/query, они могут сделать запрос с одинаковыми значениями !?
Насколько легко/сложно использовать сниффер для определения хешированного пароля? Должен ли я шифровать пароль и имя пользователя перед тем, как поместить его в URL-адрес и веб-службу? Любые другие варианты, которые у меня есть?
Я спрашиваю, потому что данные не все, что чувствительные, но основная безопасность должна существовать при минимальной производительности стоимость
Примечание: SSL не вариант
Привет, Пол, Не могли бы вы подробнее рассказать о том, как создать уникальный токен сеанса? Спасибо – gideon
Помните, что мой клиент не заботится о безопасности, если их данные, поэтому * они * не будут покупать SSL или устанавливать их на своих машинах. Могу ли я использовать какое-то шифрование, я хотел бы сохранить его простым, поскольку данные не так важны. – gideon
Если ваш клиент не заботится о безопасности своих данных - тогда вам нужно убедить их, насколько они неправы, и приобрести сертификат SSL. Если они не поднимутся за это, тогда нет никаких оснований для какой-либо безопасности. –