[英]WCF in IIS, http basic authentication - Windows User “security” implications
我使用http基本身份验证和SSL创建了一个WCF服务。 (IIS atm的临时证书)
这是相关配置。
<services>
<service name="MyNamespace.MyService">
<endpoint address="" binding="basicHttpBinding" bindingConfiguration="basicHttps"
name="MyEndPoint" contract="MyNamespace.IMyService" />
</service>
</services>
<behaviors>
<serviceBehaviors>
<behavior name="">
<!-- These will be false when deployed -->
<serviceMetadata httpsGetEnabled="true" />
<serviceDebug includeExceptionDetailInFaults="true" />
</behavior>
<!-- This doesn't do anything in IIS -->
<behavior name="CustomUsernameValidatorBehavior">
<serviceCredentials>
<userNameAuthentication userNamePasswordValidationMode="Custom"
customUserNamePasswordValidatorType="MyNamespace.CustomUserNameValidator" />
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
<bindings>
<basicHttpBinding>
<binding name="basicHttps">
<security mode="Transport">
<transport clientCredentialType="Basic" />
</security>
</binding>
</basicHttpBinding>
</bindings>
由于我在IIS中托管的事实,我无法使用我的customUsernameValidator,并且IIS Basic身份验证尝试针对Windows的用户名和密码。
我创建了一个新用户,在本地禁用了登录,并将其放入一个新组(没有权限)。 用户的唯一目的是确保允许他们访问服务,而不是其他任何目的。 该服务将在线,而非内部,例如内联网等。
我的问题归结为此,由于我使用的是真正的Windows用户,是否存在安全风险/影响? 如果是这样,可以做些什么来保护这个服务/ IIS?
如果要采取措施防止信息“网络钓鱼”,他们是否可以尝试使用不同的用户名和密码来查找凭据?
顺便说一下,这是在IIS和SSL中使用Http基本身份验证的WCF的工作绑定(减去其他一些端点等)。 它要求IIS安装了基本身份验证,以及要对其进行身份验证的Windows用户。 我不想对Windows用户进行身份验证。
如果使用基本身份验证(未定义域),则IIS 5.0及更低版本具有IP地址泄露漏洞。 请看一下这个网站: http : //www.juniper.net/security/auto/vulnerabilities/vuln1499.html
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.