Я пытаюсь сделать клиент, который подключается к серверу auth, и проверяет, является ли имя пользователя и пароль, введенные на клиенте, действительным, а если это так, клиент загружает DLL пользователям машина.Клиент и сервер auth
Мой вопрос: какой лучший и безопасный способ сделать это.
Благодаря
1) Отправить имя пользователя и пароль в хэшированном виде, на сервере также хранить хэши 2) При загрузке .dll убедитесь, что он будет подписан, и подпись проверяется (используйте Verisign подпись, если у вас есть, или просто сделать что-то на основе CryptoAPI
второй пункт предполагает, что вам не нужно, чтобы скрыть содержимое DLL из сниффера, просто нужно, чтобы убедиться, что он не модифицируется
у вас есть определенный протокол аутентификации в виду? Там связаны с несколькими проблемами безопасности, включая * загрузку DLL, загруженной откуда-то *. Возможно, вам захочется чтобы выяснить, какие проблемы безопасности вы хотите решить: избегая передачи учетных данных, безопасно сохраняя пароли, выполнение ненадежного кода во время выполнения ... –
Im пытается избежать злонамеренного пользователя, пытающегося загрузить DLL без разрешения с сервера –
Что варианты вы рассмотрели? Простой веб-страницы с формой имени пользователя и пароля, которая проверяет наличие базы данных известных пользователей, недостаточно? Просто убедитесь, что вы защищаете от SQL-инъекции и обслуживаете все по HTTPS, чтобы избежать подслушивания пароля (и защищенного файла). –