내 응용 프로그램에 가능한 한 적은 정보를 제공하여 웹 사이트 또는 서버에서 대부분의 데이터를 가져올 수 있기를 기대하며 현장 경험이있는 모든 사람의 조언과 권고를 듣고 싶습니다. 신청. 응용 프로그램이 사이트에서 데이터를 가져 오는 중입니까?
- 이 (유효한 사용자없이 작동하지 않는 응용 프로그램 패스) 사용자가 입력에 사용자 이름과 암호를 사용하여 응용 프로그램을 시작하고 로그인을 클릭하려면
현재 내 인증으로 구성되어 있습니다.
- HTTPS을 사용하여 자격 증명을 내 로그인 페이지로 보내고, 스크립트는 SSL 연결 및 개인화 된 사용자 에이전트 이름 만 허용합니다.
- 로그인 페이지는 자격 증명을 확인하고 세션과 일부 초기 데이터를 되돌려 보냅니다.
- 시간이 지남에 따라 또는 필요에 따라 더 많은 데이터를 수집하기 위해 세션을 다시 사용합니다.
사이드 참고 :는 SSL 256 비트, 세션 자동 당겨 몇 분 위의 기본 authetication를 들어
및 데이터 후에 만료 당신이 다른 어떤 것도 구현을 추천 할 것입니다?
아무 것도 변경해야합니까?
보호2 층
이제내가, 내 응용 프로그램에 /에서 전송 된 모든 데이터를 암호화하여 내 질문에 더 보안을 구현하고 싶습니다 :
- 내가 암호화하고 해독하는 데 사용한다 무엇을 데이터, 쌍방의 개인 키와 공개 키 또는 RIJNDAEL의 방법?
클라이언트와 서버에 남겨 두어야 할 정보의 올바른 방법 또는 부분은 무엇입니까? 아니면 공용 암호 또는 키에 대한 지식을 어떻게 구성해야합니까?
예를 들어 한 쌍의 RSA 키를 사용하는 경우 C#의 공개 키를 사용하여 데이터를 해독 할 수 없으므로 클라이언트와 개인 키에 1 개의 개인 키를 남겨 두어야합니다. 서버와 Rijndael은 양쪽에 IV와 키가 있어야합니다.
이러한 문제를 처리하는 적절한 방법은 무엇입니까?
나는 실제적인 독서 자료, 의견, 예제, 제안을 매우 기쁠 것은 :)
UPDATE를 조언을 :
아무도 아무 말도하고 싶어? 나는이 질문에 대한 더 많은 정보를 얻기를 원했고, 또한이 방법은 주위에 상당히 사용되는 방법이라고 힘들었다. ...
+1 처음에 답장을 보내 주셔서 감사합니다. – Guapo
** 페이로드 인수 ** 생각할 것이 많지만 사람들이 응용 프로그램을 디 컴파일하고 브라우저에서 직접 사용할 수있는 연결 URL을 얻는 것을 포함하는 간단한 것을 잊어 버렸습니다. 위에서 언급 한 것처럼 요청을 보내기 위해 따라야하는 개인화 된 것들을 언급했습니다. POST 방법이어야하고, 사용자 에이전트 개인화 된 이름을 가져야하고, SSL 등에서 온 것이어야합니다. 실제로 URL과 요청 정보를받을 수있는 사람들을 완전히 보호하지는 못합니다. 해결책은 있습니까? 그거? – Guapo
질문 : 1. 사용하지 않을 경우 X 분마다 '만료되지 않습니까?'라고 대답하십시오. 2. '네트워크 보안을 활용할 수 있습니까?'신청서는 전 세계적으로 제공 될 예정이므로 그렇게 생각하지는 않습니다. 삼.내가 그렇게까지 갈 필요가 있다고 생각하지는 마라. 그러나 나는 틀림없이 로그인 시도를 위해 captcha와 같은 것을 확실히 가질 것이다. Hehehe 네, 포트 녹스를 지을 계획은 없지만 자신을 막고 싶습니다. – Guapo