Come faccio a verificare il certificato del server host in Silverlight?

Question

Sono preoccupato con attacchi MITM in applicazione Silverlight sto scrivendo. Il sito sarà in esecuzione su SSL. Se il mio sito è vittima di un attacco MITM, per quanto ne so, la mia unica difesa in questo momento è la pagina di avviso del browser viene visualizzato quando il certificato del sito non è attendibile. Dal momento che è solo un browser, il meglio che può fare è semplicemente mettere in guardia l'utente e poi lasciar passare comunque. L'utente può essere felici clic, e tendono a non leggere le cose. Pertanto, è probabile che leggeranno questo avvertimento, grattarsi la testa, e proseguire per il sito. Il mio pensiero era che da quando sto scrivendo una robusta applicazione Silverlight, dovrei essere in grado di rilevare sia se il browser sta vedendo un errore di certificato, o di eseguire la stessa verifica che il browser esegue. Poi, se mi accorgo che c'è un problema, posso semplicemente bloccare tutta la mia app in modo che l'utente non espone alcuna informazione fondamentale per il MITM. Il problema che sto avendo è che io non riesco a trovare le classi giuste limitato sottoinsieme di Silverlight di NET per fare quello che devo fare. Qualcuno sa come posso raggiungere questo obiettivo, o un modo diverso a questo problema?

Answer 1

Questo non è possibile, per quanto ne so - Silverlight utilizza stack di rete del browser, e come risultato si basa sui suoi avvertimenti networking e infrastruttura di sicurezza

.

Silverlight 3 ha aggiunto un nuovo stack di rete, ma credo che, in generale, lo stesso vale: il certificato del server host viene convalidato quando l'Xap (applicazione Silverlight) viene scaricato dal browser, e non qualcosa che si può controllare o interagire con nel codice.

Answer 2

IMHO Si può verificare il certificato che è memorizzato localmente dal browser salvare una copia di esso dopo la richiesta SSL. Scopri questo articolo . Spero che vi darà alcuni suggerimenti