[英]WCF in IIS, http basic authentication - Windows User “security” implications
我使用http基本身份驗證和SSL創建了一個WCF服務。 (IIS atm的臨時證書)
這是相關配置。
<services>
<service name="MyNamespace.MyService">
<endpoint address="" binding="basicHttpBinding" bindingConfiguration="basicHttps"
name="MyEndPoint" contract="MyNamespace.IMyService" />
</service>
</services>
<behaviors>
<serviceBehaviors>
<behavior name="">
<!-- These will be false when deployed -->
<serviceMetadata httpsGetEnabled="true" />
<serviceDebug includeExceptionDetailInFaults="true" />
</behavior>
<!-- This doesn't do anything in IIS -->
<behavior name="CustomUsernameValidatorBehavior">
<serviceCredentials>
<userNameAuthentication userNamePasswordValidationMode="Custom"
customUserNamePasswordValidatorType="MyNamespace.CustomUserNameValidator" />
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
<bindings>
<basicHttpBinding>
<binding name="basicHttps">
<security mode="Transport">
<transport clientCredentialType="Basic" />
</security>
</binding>
</basicHttpBinding>
</bindings>
由於我在IIS中托管的事實,我無法使用我的customUsernameValidator,並且IIS Basic身份驗證嘗試針對Windows的用戶名和密碼。
我創建了一個新用戶,在本地禁用了登錄,並將其放入一個新組(沒有權限)。 用戶的唯一目的是確保允許他們訪問服務,而不是其他任何目的。 該服務將在線,而非內部,例如內聯網等。
我的問題歸結為此,由於我使用的是真正的Windows用戶,是否存在安全風險/影響? 如果是這樣,可以做些什么來保護這個服務/ IIS?
如果要采取措施防止信息“網絡釣魚”,他們是否可以嘗試使用不同的用戶名和密碼來查找憑據?
順便說一下,這是在IIS和SSL中使用Http基本身份驗證的WCF的工作綁定(減去其他一些端點等)。 它要求IIS安裝了基本身份驗證,以及要對其進行身份驗證的Windows用戶。 我不想對Windows用戶進行身份驗證。
如果使用基本身份驗證(未定義域),則IIS 5.0及更低版本具有IP地址泄露漏洞。 請看一下這個網站: http : //www.juniper.net/security/auto/vulnerabilities/vuln1499.html
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.