ユーザー認証やスクリプト言語の不正な変更にどう対処するか?

Question

Python/wxPython を使用して集中デスクトップ アプリケーションを構築しています。要件の 1 つはユーザー認証です。これは LDAP を使用して実装しようとしています (これは必須ではありません)。

このシステムのユーザーは予算を立てる機械・電気技術者となるが、最大の問題は産業スパイだろう。一般的な問題は、非公式な方法で下部からの漏れがよく発生することであり、これが問題を引き起こす可能性があります。このシステムは、すべてのユーザーが必要なすべての情報にのみアクセスできるように設定されているため、プロジェクト全体に関する金銭的な情報をトップの人々以外に知ることはできません。

問題は、認証システムを実装するために考えられるすべての方法において、Python のオープン性により、システムから重要な情報をバイパス/取得する方法を少なくとも 1 つ考えるようになることです。 py2exe これは、Windows 上のコードの難読化に最も近いものです。

本当にそうしようとしているわけではない 隠れる コードを使用するのではなく、認証ルーチン自体を安全にするのではなく、コードへのアクセスがアプリケーションへのアクセス機能を意味しないような方法で認証ルーチンを作成します。私が追加したかったことの 1 つは、ユーザーが変更されたクライアント アプリを実行していないことを確認できるように、アクセス ルーチンに対するある種のコード署名です。

これを避けるために私が考えた方法の 1 つは、 C 認証用のモジュールを使用しますが、それを行う必要はありません。

もちろん、この質問は現在では変化しており、単に「Python で実行される安全な認証システムを構築する方法について正しい方向を教えてくれる人はいますか?」というだけではありません。このようなものはすでに存在しますか?」でも、「不正な変更に対してスクリプト (Python) を強化するにはどうすればよいですか?」

Answer 1

ユーザーはどの程度悪意がありますか?本当に。

具体的にどの程度悪意があるのでしょうか？

ユーザーが邪悪な社会病質者であり、デスクトップ ソリューションを信頼できない場合は、 デスクトップソリューションを構築しないでください. 。Web サイトを構築します。

あなたのユーザーが普通のユーザーであれば、(a) Python を学び、(b) セキュリティがどのように機能するかを学び、(c) 真剣に努力する前に、ポルノ サイトからウイルス、マルウェア、キーロガーをインストールして環境をめちゃくちゃにするでしょう。それを壊す。

実際にデスクトップのセキュリティ上の問題 (公共の安全、軍事など) がある場合は、デスクトップの使用を再考してください。

それ以外の場合は、リラックスして正しいことを行い、「スクリプト作成」について心配しないでください。

C++ プログラムは、人々が怠け者であり、SQL インジェクションを許可するため、ハッキングが容易です。

Answer 2

おそらく:

1. ユーザーはデスクトップ クライアントに資格情報を入力します。
2. クライアントはサーバーに次のように言います。「こんにちは、私の名前はユーザー名、パスワードはパスワードです。」
3. サーバーはこれらをチェックします。
4. サーバーはクライアントに次のように言います。「こんにちは、ユーザー名。秘密のトークンは次のとおりです。...」
5. その後、クライアントはシークレット トークンをユーザー名とともに使用して、サーバーとの通信に「署名」します。