我對我的SOA應用程序進行了wcf用戶名/密碼認證。安全模式是消息,密鑰是一個加密RSA 4096位的x509證書。每個客戶都在配置文件中相同的密鑰
我的wcf應用程序中是否存在安全錯誤?
<certificate encodedValue="VeryVeryBigRsaKey />
我很好奇,如果例如,一個應用程序的用戶,具有VeryVeryBigRsaKey可以嗅出其他用戶的數據包,共享同一個密鑰(VeryVeryBigRsaKey)。如果是,我認爲是一個非常嚴重的問題,我必須將安全模型更改爲TransportWithMessageCredential
。
編輯:
我生成使用pluralsight自我證書我的鑰匙,並將其輸入到與Base 64編碼一個* .cer文件。並打開生成* .cer與記事本,並給了我rsa密鑰(VeryVeryBigRsaKey):)
我會假設它的代碼,然後說它在框架本身的錯誤。你沒有發佈你如何生成密鑰。如果每個用戶的密鑰相同,除非您只讓用戶A查看用戶A的信息,否則用戶B不會出現任何不同。 –
我不認爲這是框架錯誤,我擔心如果它是一個錯誤。 – croisharp
你甚至不應該害怕它是一個框架錯誤。這是非常非常不可能的。如果你仍然很擔心,你應該直接聯繫微軟,而不是問我們。 – BoltClock