Wie geht es mit der Benutzerauthentifizierung und einer falschen Änderung in Skriptsprachen um?

Question

Ich baue eine zentralisierte Desktop -Anwendung mit Python/WXPython. Eine der Anforderungen ist die Benutzerauthentifizierung, die ich mit LDAP implementieren möchte (obwohl dies nicht obligatorisch ist).

Benutzer des Systems werden mechanische und elektrische Ingenieure sein, die Budgets machen, und das größte Problem wäre die industrielle Spionage. Es ist ein häufiges Problem, dass Lecks häufig von unten auf informelle Arten auftreten, und dies könnte Probleme darstellen. Das System ist so eingerichtet, dass jeder Benutzer Zugriff auf alle und nur die Informationen hat, die es benötigt, so dass niemand, aber die Personen an der Spitze finanzielle Informationen zum gesamten Projekt haben.

Das Problem ist, dass Pythons Offenheit für jede Art und Weise, wie ich das Authentifizierungssystem implementieren kann py2exe Ist ich am nächsten, um den Code unter Windows verschleiern zu können.

Ich versuche es nicht wirklich ausblenden Der Code, sondern die Authentifizierungsroutine für sich selbst schützt, macht es so, dass der Zugriff auf den Code nicht bedeutet, auf die Anwendung zuzugreifen. Eine Sache, die ich hinzufügen wollte, war eine Art Code -Unterzeichnung für die Zugriffsroutine, sodass der Benutzer sicher sein kann, dass er keine geänderte Client -App ausführt.

Eine der Möglichkeiten, wie ich daran gedacht habe, dies zu vermeiden C Modul für die Authentifizierung, aber ich müsste das lieber nicht tun.

Natürlich ändert sich diese Frage jetzt und nicht nur "Könnte mich jemand in die richtige Richtung zeigen, wie ein sicheres Authentifizierungssystem aufgebaut wird, das auf Python ausgeführt wird? Gibt es schon so etwas?", Aber "Wie verhärtet man ein Skripting -Scripting -Scripting, das ein Skripting aushärtet. (Python) gegen die falsche Änderung? "

Answer 1

Wie böswillig sind Ihre Benutzer? Wirklich.

Genau wie bösartig?

Wenn Ihre Benutzer böse Soziopathen sind und einer Desktop -Lösung nicht anvertrauen können, dann ist es dann mit einer Desktop -Lösung vertraut Erstellen Sie keine Desktop -Lösung. Erstellen Sie eine Website.

Wenn Ihre Benutzer gewöhnliche Benutzer sind, werden sie die Umgebung verarschen, indem sie Viren, Malware und Keylogger von Pornoseiten installieren, bevor sie versuchen, (a) Python zu lernen (b) zu lernen, wie Ihre Sicherheit funktioniert, und (c) sich aufrichtig anstrengen es brechen.

Wenn Sie tatsächlich Desktop -Sicherheitsprobleme (dh öffentliche Sicherheit, Militär usw.) haben, überdenken Sie mit dem Desktop.

Ansonsten entspannen Sie sich, tun Sie das Richtige und machen Sie sich keine Sorgen um "Scripting".

C ++ - Programme sind einfacher zu hacken, da die Menschen faul sind und die SQL -Injektion erlauben.

Answer 2

Möglicherweise:

1. Der Benutzer gibt seine Anmeldeinformationen in den Desktop -Client ein.
2. Der Client sagt zum Server: "Hallo, mein Name Benutzername und mein Passwort ist Passwort."
3. Der Server überprüft diese.
4. Der Server sagt zum Client: "Hallo, Benutzername. Hier ist Ihr geheimer Token: ..."
5. Anschließend verwendet der Client das geheime Token zusammen mit dem Benutzernamen, um die Kommunikation mit dem Server zu "unterschreiben".