ロジックまず、WCFセキュリティは、後に?
-
20-08-2019 - |
質問
私は(それが私のオフィス内の別のプログラマによって開発されている)クライアントアプリのn個のインスタンスにnet.tcpを介して通信されるWCFサービスに取り組んでいます。
私は、この段階でこれを設定すると感じたように私はどのようなセキュリティなしでnet.tcp使用しています現時点では、ロールアウトに近い少なくともないまで、必要はありませんでした。
WCFアプリケーションの開発時には、セキュリティなし(私の場合はnet.tcp)を標準バインディングを使用して任意の害は、ビジネス・ロジックが完了した後、その後、すべてのセキュリティ要件を実装していますか?すべての物事は、私は、セキュリティの実装後に機能しない可能性があることを認識する必要がありますか?
解決
、私はそれは、特定のセキュリティ戦略のカップルあなたのコンポーネントをする良いアイデアだとは思いません。あなたは非常によく、非セキュアな方法で、異なるセキュリティオプションを提供しています異なるプロトコル間であなたのコンポーネントの一部を使用したい場合があります。
だから私の答えはイエスであり、ノーでもあります。はい、あなたは最初からそれについて考える必要がある、ない、あなたのセキュリティニーズへのカップルあなたのコンポーネントをべきではありません。
これはあなたがnet.tcp使うことになることを知っているので、あなたはトランスポート・セキュリティは、この結合のために、デフォルトでオンになっていることを認識すべきであると述べました。
他のヒント
セキュリティは、開始からおよそ考え、そして最後にに追加されませんする必要があります。
セキュリティのための計画を作成し、あなたが行くように終わりはなく、その後、それを実装ます。
参考:マイクロソフト.NET:エンタープライズ向けのアプリケーションを設計
http://www.amazon.com/Microsoft の®-NET-設計する - 応用 - PRO-開発/ DP / 073562609X
あなたは2つの選択肢があり、最初からそれを焼く、または最後にそれを平手打ち。一般的にはセキュリティでは、私はあなたがそこにそれを得るためにあなたのケーキの混乱をしなければならないので、それは本当にアイシングでは動作しませんと言うでしょう。
しかし、私はあなたの質問を見る方法は、すでにあなたはセキュリティ上の問題を解決するために何かをする必要がある知っている、あなただけの何をするか決めていません。その場合、私はあなたが、あなたが最終的なソリューションをプラグインすることができます抽象化を中心に設計する必要がありますことをテリーに同意するだろう。
私があなただったら、私はおそらく脅威モデルをし、あなたのサービスが提示入力とリスクを考慮するためにそれを使用します。これは、あなたの抽象化は、すべての拠点をカバーする場合、あなたが最終的にやるとすべきかを決めるのに役立ちます。