كيف يمكنني منع SoapExtensions إضافة إلى خدمة ويب التطبيق ؟

Question

يبدو أن أي شخص يمكن أن تجسس على المكالمات الواردة/المنتهية ولايته .NET خدمة ويب الصابون الرسائل فقط عن طريق إسقاط بطريقة بسيطة SoapExtension في المجلد bin ثم السباكة في استخدام:

<soapExtensionTypes>
  <add type="MyLoggingSoapExtension, SoapLoggingTools" priority="0" group="High" />
<soapExtensionTypes>

هل هناك طريقة لمنع الصابون امتداد من التحميل أو أن يطلب في بلدي التطبيق (من خلال حدث أو بعض هذه الآلية) سواء كان موافق على الحمل ؟

@هيرست:شكرا على الإجابة.أنا أعرف عن مستوى الرسالة التشفير/WS-الأمن و كنت أتمنى أن لا تضطر إلى الذهاب من هذا الطريق.لدينا الكلاسيكية ASP العملاء باستخدام هذه الخدمة و التي تفتح عالم صغير من الألم.هناك SSL موتس على الموقع تشغيل خدمة ويب ولكن كنت آمل أن أتمكن من تثبيط العميل من ترقيع مع الصابون امتداد كما لديهم المطورين الذين لديهم بعض القدرة على "اللعب".

Answer 1

أنا لا أفهم ما تقصد من ملحقات بن المجلدات (أعتقد أن تستخدمه .الصافي), لذا لا أستطيع الإجابة عنها يتم تحميلها.... الخ

لاحظ أن الصابون هو مصمم لتمكين الوسطاء من قراءة الرؤوس حتى تعديلها.(القيام ببحث عن "الصابون نشط الوسطاء"). اذا حكمنا من خلال ذلك ، نتوقع أن يكون هناك أي سبب التكنولوجيا لتجنب التطفل طريق منع رمز من القراءة الصابون.

الطريقة الصحيحة لحماية نفسك هو استخدام "رسالة على مستوى الأمن".(هذا هو على النقيض من النقل على مستوى الأمن, مثل SSL التي لا تحمي من الوسطاء). وبعبارة أخرى, تشفير الرسائل الخاصة بك قبل إرسالها.

واحد متاح القياسية المستخدمة لتنفيذ رسالة على مستوى آليات الأمن هو WS-الأمن البروتوكول.هذا يسمح لك لاستهداف التشفير الحمولة ذات الرؤوس بغض النظر عن النقل.هو أكثر تعقيدا ، ولكن هذا هو كيف يمكنك أن تذهب نحو تقييد الوصول.

Answer 2

أتفق تماما مع @هيرست - إذا كنت ترغب في منع الآخرين من قراءة الرسائل الخاصة بك تحتاج إلى استخدام الرسائل مستوى التشفير.وإلا بسيطة حتى NetMon يمكن أن الكراك على سلك المرور.

بالطبع إذا كان هناك شخص لديه حق الوصول إلى آلة (نظرا الوصول إلى /بن الخ) ، حتى التشفير قد لا يكون كافيا لمنع المتلصصون استخدام مصححات مثلاقراءة في الذاكرة تمثيل الرسالة بعد فك تشفير.

مع الوصول الفعلي إلى الجهاز - كل الرهانات.