스크립팅 언어에서 사용자 인증 및 잘못된 수정을 처리하는 방법은 무엇입니까?

Question

Python/Wxpython을 사용하여 중앙 집중식 데스크톱 응용 프로그램을 구축하고 있습니다. 요구 사항 중 하나는 사용자 인증이며 LDAP를 사용하여 구현하려고합니다 (필수는 아니지만).

시스템 사용자는 기계 및 전기 엔지니어가 예산을 책정 할 것이며 가장 큰 문제는 산업 간첩입니다. 비공식적 인 방식으로 누출이 바닥에서 일반적으로 발생하는 일반적인 문제로 인해 문제가 발생할 수 있습니다. 이 시스템은 모든 사용자가 필요한 모든 정보에만 액세스 할 수 있도록 설정되어 있으므로, 위에있는 사람 이외의 사람은 전체 프로젝트에 대한 금전적 정보를 가지고 있지 않습니다.

문제는 인증 시스템을 구현할 수있는 모든 방법으로 Python의 개방성이 시스템에서 현명한 정보를 우회/수립하는 방법을 적어도 생각하게한다는 것입니다. py2exe Windows에서 코드를 난독 화하는 데 가장 가까운 곳입니다.

나는 정말로 노력하지 않습니다 숨다 코드는 대신 인증 루틴 자체를 안전하게 만들고 코드에 대한 액세스가 응용 프로그램에 액세스 할 수있는 기능을 의미하지는 않습니다. 내가 추가하고 싶었던 한 가지는 액세스 루틴에 일종의 코드 서명이므로 사용자는 수정 된 클라이언트 앱을 실행하지 않도록 할 수 있습니다.

내가 이것을 피하려고 생각한 방법 중 하나는 C 인증을위한 모듈이지만 오히려 그렇게 할 필요는 없습니다.

물론이 질문은 지금 바뀌고 있으며 "Python에서 실행되는 보안 인증 시스템을 구축하는 방법에 대한 올바른 방향으로 나를 지적 할 수 있습니까? 이미 존재합니까?", "어떻게 스크립팅을 강화합니까?" (파이썬) 잘못된 수정에 대한? "

Answer 1

사용자는 얼마나 악의적입니까? 진짜.

정확히 얼마나 악의적입니까?

사용자가 사악한 소시 오 패스이고 데스크탑 솔루션으로 신뢰할 수 없다면 데스크탑 솔루션을 구축하지 마십시오. 웹 사이트를 구축하십시오.

사용자가 평범한 사용자 인 경우 (a) Python을 배우기 전에 포르노 사이트에서 바이러스, 맬웨어 및 키로거를 설치하여 환경을 조여집니다. 그것을 깨뜨립니다.

실제로 데스크톱 보안 문제 (예 : 공공 안전, 군사 등)가있는 경우 데스크탑을 사용하여 다시 생각하십시오.

그렇지 않으면 긴장을 풀고 옳은 일을하고 "스크립팅"에 대해 걱정하지 마십시오.

C ++ 프로그램은 사람들이 게으르고 SQL 주입을 허용하기 때문에 해킹하기가 더 쉽습니다.

Answer 2

혹시:

1. 사용자는 자격 증명을 데스크탑 클라이언트에 입력합니다.
2. 클라이언트는 서버에 다음과 같이 말합니다. "안녕하세요, 내 이름 사용자 이름과 비밀번호는 비밀번호입니다."
3. 서버는 이것을 확인합니다.
4. 서버는 클라이언트에게 다음과 같이 말합니다. "안녕하세요, 사용자 이름. 여기에 비밀 토큰이 있습니다 : ..."
5. 그 후 클라이언트는 사용자 이름과 함께 비밀 토큰을 사용하여 서버와 통신을 "서명"합니다.