Χρησιμοποιείς δικό σου ρολόι εσωτερικά στην εφαρμογή, το οποίο το κάνεις synchronize με το ρολόι του server σε κάποιο απο τα πρώτα request, ώστε να είσαι σίγουρος ότι έχουν κοινό time/date

Giz.-

---

Παναγιώτης Κεφαλίδης

"Για να επιτύχεις, θα πρέπει το πάθος σου για την επιτυχία να είναι μεγαλύτερο απο τον φόβο σου για την αποτυχία"

Οι απαντήσεις παρέχονται για συγκεκριμένες ερωτήσεις και χωρίς καμιά εγγύηση. Παρακαλώ διαβάστε τους όρους χρήσης.

Τελικά είπα να πάω σε ssl...
Το σκηνικό είναι το εξής:
Βάζω ένα certificate στον IIS και ζητάω ecryption. Ο client πλέον σε κάθε request στα services βάζει μέσα username και password τα οποία δεν έχω φόβο να μην τα δει κανείς αφού πηγαινοέρχοναι encrypted; (τώρα που το γράφω σκέφτομαι... το response είναι encrypted. Το request όμως που έχει μέσα το password είναι encrypted; Ο client δεν έχει certificate...)
Τεσπά, λύνεται και αυτό, οπότε, αν τα σκέφτομαι σωστά, γλυτώνω το expiration των tickets, plus, έχω και encryption στα δεδομένα μου...

Μμμ, αν βάλω και ένα check για το IP του client νομίζω ότι έχω καλύψει πολλά θέματα...

Πείτε μου pls, αν νομίζετε ότι είμαι κάπου λάθος...

---

Χρήστος Γεωργακόπουλος

Τσκ, τσκ, τσκ. Το request ΕΙΝΑΙ κρυπτογραφημένο. Ο server στέλνει το public key του στον client και στέλνει ένα session key κρυπτογραφημένο με αυτό . Από εκεί και πέρα, ο client και ο server επικοινωνούν χρησιμοποιώντας το session key.

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos

Θα κάνω μερικά σχόλια για το συγκεκριμένο θέμα. Στη θεωρία το Asymmetric Εncryption αποτελεί την ιδανική μέθοδο για να διασφαλίσει κανείς την ασφάλεια και την ακεραιότητα των δεδομένων, στην πράξη όμως υπάρχουν διάφορες δυσκολίες, θέματα διαχείρισης και ασφαλούς αποθήκευσης των πιστοποιητικών, και το σημαντικότερο θέματα κόστους. Σκεφτείτε π.χ. έναν παροχέα να έπρεπε να μοιράσει στους πελάτες του πιστοποιημένα ψηφιακά πιστοποιητικά (και όχι "μούφα" πιστοποιητικά όπως κάνει π.χ. γνωστή μεγάλη Ελληνική τράπεζα) σε ασφαλές συσκευές αποθήκευσης (tokens). To κόστος ακόμα και σήμερα είναι δυστυχώς πολύ μεγάλο. Γι'αυτο το λόγο και δεν θα βρείτε commercially εφαρμογές PKI σε μεγάλη κλίμακα .

Μία άλλη μεθοδολογία την οποία χρησιμοποιoύμε για την παροχή ασφαλών web services χωρίς τη ανάγκη Ψηφιακών Πιστοποιητικών και η οποία μπορεί να χρησιμοποιηθεί και από non windows clients είναι η παρακάτω:

1. Τα web services γίνονται install σε secure web server (SSL)

2.Στους ενδιαφερόμενους partners μοιράζονται UserName και Password με ασφαλή τρόπο

3.Οταν ένας partner καλεί για πρώτη φορά ένα web service καλεί τη  μέθοδο GetAuthorisationTicket(UserName) χωρίς να περάσει το password

4. O server λαμβάνει το request κάνει retrieve το password του χρήστη παράγει ένα τυχαίο AuthorisationTicket (BinaryData) το κάνει encrypt (AES) με το συμμετρικό κλειδί του χρήστη και το στέλνει στον χρήστη.

5. Ο χρήστης κανει decrypt to ticket . Τα ανταλασσομενα μηνύματα αποτελούνται από Header, Body και SecurityCRC: Από το Ηeader του μηνύματος παράγεται ένα string το οποίο γίνεται encyrpt (AES) με το AuthTicket και το οποίο στη συνέχεια γίνεται hashed με SHA512.

6. Ο server παραλαμβάνει το μήνυμα εκτελεί την αντίστοιχη διαδικασία και συγκρίνει τα hashes. Αν συμπίπτουν ολα ΟΚ, αλλιώς κάνει discard request.

 Τα ticket έχουν συγκεκριμένο lifetime και γίνονται expire, ενώ στα μηνύματα μεταφέρεται η ημερομηνία/ώρα αποστολής και unique transaction ids για την αποφυγή replay attacks . Η συγκεκριμενη μεθοδολογία έχει το πλεονέκτημα ότι είναι άμεσα εφαρμόσιμη σε διαφορετικές  πλατφόρμες, αφού δυστυχώς ακόμα και σήμερα τα security πρωτόκολλα των web services δεν είναι ακόμα παγιωμένα.

Σε all windows environments υπάρχoυν βέβαια έτοιμες λύσεις διαθέσιμες (βλ. WSE 2.0)

---

jsr

Πολύ καλό στα βήματα 3 και 4... δεν μου είχε περάσει απ' το μυαλό... Που ήσουνα εσύ κρυμμένος; Thanx anyway... και welcome στο forum.

---

Χρήστος Γεωργακόπουλος

Κάποιο contact point μου με είχε ενημερώσει παλιότερα για το forum, αλλά όταν μπήκα ήταν ακόμα ανενεργό με λίγους χρήστες.  Τώρα βλέπω ότι έχει ζωντανέψει ...

Υ.Γ. Τα βήματα 3,4 επιδέχονται ακόμα καποιες μικρές βελτιώσεις, απλά είπα να μην  μπλέξω παρα πολύ την περιγραφή του αλγορίθμου.

---

jsr