我想在WCF中使用用戶名消息安全。我試圖找出使用None/Anonymous的傳輸憑證類型是否會帶來明確的安全風險。沒有傳輸安全性的WCF用戶名認證存在安全風險?
我擔心的是通過使用WS-trust規範(TLS協商)隧道傳輸二進制數據的初始交換。在共享安全上下文建立之前,這種嘗試驗證我的用戶名和密碼是否會受到網絡嗅探器的影響?
任何想法的歡迎。
謝謝。
<security mode="Message">
<transport clientCredentialType="None" />
<message clientCredentialType="UserName" negotiateServiceCredential="true" algorithmSuite="Default" establishSecurityContext="true" />
</security>
「用戶名令牌應包含用戶名和密碼,未加密。」 - 這是不正確的。 WS-Security定義可以發送密碼摘要。這意味着密碼本身不再通過電線發送。它基本上使知道密碼的兩方能夠生成該散列。但重播攻擊仍然是一個問題。 – Alex 2009-08-30 00:30:39