WCF 전송 계층 보안 문제

Question

왜 wcf 전송 계층 보안이 사용자 이름/암호 인증을 제한하는지 이해할 수 없습니다.
좋아요, wcf 메시지 보안 모델의 메시지 암호화는 TCP/IP 응용 프로그램 계층에서 발생합니다. 즉, 알고리즘을 사용하여 사용자 이름/암호를 직접 암호화하고 인증서 키를 사용하여 암호를 해독하고 사람이 중간 atack에서 사람을 사용하여 패킷을 스니핑하면, 사용자 자격 증명을 해독하는 데 필요한 키가없는 경우 은으로 실패합니다.
하지만 사용자 이름/비밀번호 인증을 제한하는 전송 레이어 보안의 약점은 무엇입니까?
누군가 중간 공격으로 사람을 만들 수 있으며 전송 수준 보안 메시지에서 사용자 자격 증명을 볼 수 있습니까?

Answer 1

WCF 제한 사항이 아닙니다. 이것은 TCP 제한과 같습니다. TCP 전송 보안 수행 중 : 인증서를 사용하는 SSL 스트림으로

• 윈도우 보안이 신뢰할 수있는 보안 연결을

사용자 이름을 설정하는 데 사용되며, 윈도우 스트림에 의해 보안 연결

신뢰 확립 암호 자체는 이러한 스트림을 만드는 데 아무 것도 제공하지 않습니다. 전송 보안과 관련하여 사용자 이름과 암호를 전달해야한다면 실제로 할 수 있지만 TransportWithMessageCredential 보안 모드를 사용해야합니다! SOAP 헤더에 인증서 및 사용자 이름과 암호로 보안 된 전송 계층을 갖게됩니다.