Comment traiter l'authentification des utilisateurs et la modification illicite dans les langages de script?

Question

Je construis une application de bureau centralisé en utilisant Python / wxPython. L'une des conditions est l'authentification de l'utilisateur, que je suis en train de mettre en œuvre en utilisant LDAP (bien que ce ne soit pas obligatoire).

Les utilisateurs du système seront les ingénieurs mécaniques et électriques équilibre des budgets, et le plus gros problème serait l'espionnage industriel. Son un problème commun que les fuites se produisent généralement du fond sur les moyens informels, et cela pourrait poser des problèmes. Le système est mis en place de telle sorte que chaque utilisateur a accès à tous et que les informations dont il a besoin, de sorte que personne ne mais les gens en haut a l'information monétaire sur l'ensemble du projet.

Le problème est que, pour tous les sens, je peux penser à mettre en œuvre le système d'authentification, l'ouverture de Python me fait penser à au moins un moyen de contourner / obtenir des informations sensibles du système, parce que « la compilation » avec py2exe est le plus proche I peut se rendre à l'obscurcissement du code sous Windows.

Je ne suis pas vraiment essayer de cacher le code, mais plutôt faire la routine d'authentification sécurisée par lui-même, faire de telle sorte que l'accès au code ne signifie pas la capacité d'accéder à la application. Une chose que je voulais ajouter, était une sorte de signature de code à la routine d'accès, de sorte que l'utilisateur peut être sûr qu'il ne fonctionne pas une application client modifiée.

L'une des façons dont j'ai pensé pour éviter ce fait un module C pour l'authentification, mais je préférerais ne pas avoir à le faire.

Bien sûr, cette question est en train de changer et pas seulement « Quelqu'un pourrait-il me diriger dans la bonne direction quant à la façon de construire un système d'authentification sécurisé en cours d'exécution sur Python? Est-ce que quelque chose comme cela existe déjà? », Mais « Comment avez-vous durcir un script (Python) contre la modification illicite? "

Answer 1

Comment malveillants sont vos utilisateurs? Vraiment.

Exactement comment malveillant?

Si vos utilisateurs sont mal sociopathes et ne peuvent pas faire confiance avec une solution de bureau, puis ne pas construire une solution de bureau . Construire un site web.

Si vos utilisateurs sont des utilisateurs ordinaires, ils vont à vis de l'environnement par l'installation de virus, les logiciels malveillants et keyloggers des sites porno avant qu'ils essaient de (a) apprendre Python (b) apprendre comment fonctionne votre sécurité et (c) faire un effort sincère à briser.

Si vous avez réellement des problèmes de sécurité de bureau (à savoir, la sécurité publique, militaire, etc.) repenser puis en utilisant le bureau.

Sinon, détendez-vous, faire la bonne chose, et ne vous inquiétez pas « script ».

programmes C ++ sont plus faciles à pirater parce que les gens sont paresseux et permettre l'injection SQL.

Answer 2

Peut-être:

1. L'utilisateur entre leurs informations d'identification dans le client de bureau.
2. Le client dit au serveur: « Salut, mon nom d'utilisateur de nom et mon mot de passe est le mot de passe »
.
3. Le serveur vérifie ces derniers.
4. Le serveur dit au client: "Salut, nom d'utilisateur Voici votre jeton secret. ..."
5. Ensuite, le client utilise le jeton secret avec le nom d'utilisateur pour les communications « signe » avec le serveur.