WCF Nachrichten- oder Transportsicherheit

04/05/2010 - 00:58 von jens d | Report spam
Hallo,

ich habe schon viele Vergleiche über Message- oder Transportsicherheit
im Netz gefunden. Leider weiß ich nicht, wie die Nachrichten am Ende
aussehen, wenn sie versendet werden.

Problemstellung: Mittels eines InjectionBehaviors füge ich jeder
Nachricht einen eigenen Header hinzu und frage mich nun, ob die Daten
darin auch gesichert werden.

Wenn ich mit dem gleichen InjectionBehavior in der Methode
"BeforeSendRequest" die Nachricht ausgebe, dann kann ich bei
MESSAGESECURITY sowohl den Header, als auch die Daten der Nachricht (im
Klartext)auslesen. Hinzu kommen einige Sicherheitsdaten z.B. ein
<cipher>-Tag.
Weiter unten ist jedoch die Nachricht "lesbar".
Wird diese auf "tieferer Ebene" noch verschlüsselt?? Oder ist das die
Nachricht, wie sie übertragen wird? Ist sie für "jedermann" lesbar?

Bei TRANSPORTSECURITY fehlt zwar der <cipher>-Tag, aber der Rest (Aufruf
bzw. Antwort des Service) ist sehr àhnlich lesbar. Hier erwarte ich ja
eine Verschlüsselung auf jener "tieferen Ebene".

Muss ich erst mit Wireshark jedes Paket abgrasen, um zu sehen, ob meine
Programmierung sicher ist?

Ziel am Ende ist eine Lösung, die sowohl bei Transportsicherheit als
auch bei Nachrichtensicherheit.. naja sicher ist =)

Beste Grüße
Jens

PS: Credentials sind jeweils Zertifikate
 

Lesen sie die antworten

#1 Frank Dzaebel
04/05/2010 - 08:12 | Warnen spam
Hallo Jens,

Wenn ich mit dem gleichen InjectionBehavior in der Methode
"BeforeSendRequest" die Nachricht ausgebe, dann kann ich bei
MESSAGESECURITY sowohl den Header, als auch die Daten der Nachricht (im
Klartext)auslesen. Hinzu kommen einige Sicherheitsdaten z.B. ein
<cipher>-Tag.



Das, was in der der BeforeSendRequest Methode siehst, muss
AFAIK nicht das sein, was physisch über die Leitung geht. Das kommt
auch auf das Binding an. Etwa beim WsHttpBinding, wo Du über SSL gehst.



Weiter unten ist jedoch die Nachricht "lesbar".
Wird diese auf "tieferer Ebene" noch verschlüsselt?? Oder ist das die
Nachricht, wie sie übertragen wird? Ist sie für "jedermann" lesbar?



Sie wird in oben geschilderten Fall auf Ebene von HTTPS
verschlüsselt:

[Hypertext Transfer Protocol Secure - Wikipedia]
http://de.wikipedia.org/wiki/Hypert...col_Secure



Ziel am Ende ist eine Lösung, die sowohl bei Transportsicherheit als
auch bei Nachrichtensicherheit.. naja sicher ist =)



Die bei SSL-Verschlüsselungsverfahren gelten heutzutage als
sicher und werden regelmàßig neu überprüft. Dennoch gibt es
die Möglichkeit eines "Man-in-the-middle" Angriffes.


ciao Frank
Dipl.Inf. Frank Dzaebel [MCP/MVP C#]
http://Dzaebel.NET

Ähnliche fragen