2
서버/클라이언트 응용 프로그램을 만들었습니다. 둘 다 C#으로 작성되었습니다. 그것은 사용자 정의 SSL 구현과 TCP/IP 통신을 사용합니다. 현재 로그인 절차에 로그인 할 때 사용자 이름/비밀번호 쌍이 필요합니다.C# - WinForms에서 Single Sign On 구현 (Outlook처럼)
사용자 이름/비밀번호가 필요 없도록 싱글 사인온을 구현하도록 요청 받았습니다.
이제 클라이언트가 시작될 때 현재 로그인 한 사용자의 SID를 결정하고이 연결을 SID를 통해 사용자에게 매핑하는 서버로 보냅니다.
이 솔루션은 잘 작동하지만 전혀 보안 솔루션이 아닙니다.
클라이언트의 이름이 강하고 모호합니다.
는 나는이 로그인을 해킹 할 수 방법에 대해 생각하기 시작하고 나는 그것이보기의 해커의 관점에서 매우 쉽게 생각 : - 네트워크에서 사용자의 SID를 찾는 것이 문제가되지 않습니다 - 강한 제거 이름을 바꾸고 현재 코드 대신 하드 코드 된 SID를 사용하도록 적절한 코드를 변경하면 쉽게 구현할 수 있습니다.그래서 어떻게 생각하십니까? 더 나은 솔루션을 제안 해 주시겠습니까? 보안 향상 방법을 알려주시겠습니까?
아니면 Outlook에서 사용자 인증을 처리하는 방법을 알려주시겠습니까? (나는 추측한다/전망을 속이게 그렇게 쉽지 않기를 바란다)
Thank you!