Скажите, пожалуйста, бизнес-приложения Silverlight безопасны?Silverlight. Вопросы безопасности
Насколько я знаю, пользователь может получить .xap файл из кэша локального компьютера, которое загрузило приложение, или напрямую, если известно имя и местоположение файла (оно написано в HTML-коде) - просто введите его в адресной строке браузера и файла будут загружены. (Вопрос 1:? Это нормально Или, может быть, некоторые настройки конкретного хостинг может отказать напрямую загружать)
Существует самое интересное - так, пользователь, после загрузки веб-страницы, имеет .xap файл в файловой системе. Теперь Вопрос 2: Может ли пользователь открыть (я имею в виду, декомпилировать) этот файл xap и, таким образом, получить много данных, в том числе проверить определенную роль пользователя и т. Д.? В коде я периодически проверяю наличие уполномоченного пользователя в определенной роли. В зависимости от этого, он может быть предоставлен различным контентом.p.s. конечно, я знаю о роли проверки на стороне сервера по атрибутам, речь не об этом. Плюс, я использую модульность MEF, и для связи между модулями я использовал глобальный проект библиотеки с коммуникационным интерфейсом. Можно ли украсть информацию между модулями?
Дальше. Файл web.config, в котором содержатся некоторые параметры приложения, также содержит строку подключения к базе данных с информацией о пароле. Существует Вопрос 3: web.config, достаточно безопасный для хранения таких данных?
И последний вопрос - соединение SSL. Я знаю, мне нужно заплатить за это. В любом случае, Вопрос 4: Как SSL он может защитить приложение и содержать данные (в бизнес-приложении)?
Большое спасибо за ваш ответ !! Это было очень полезно! – Mans7
user381624, не могли бы вы рассказать мне больше о: 1. «и добавление настраиваемого заголовка в запросы/ответы, которые были фактически контрольной суммой со скрытым закрытым ключом для шифрования контрольной суммы». - Я не знаю, как это реализовать. Пожалуйста, если у вас есть время, дайте мне несколько советов или ссылок на образцы. 2. «Дублировать авторизацию на сервере». - Вы имеете в виду 2 атрибута в классе DomainService, например [RequiresAuthentication] и [RequiresRole («admin»)]? – Mans7
1. Это зависит от того, какую клиентскую библиотеку вы используете для связи с вашими службами, но все они позволят вам получить доступ к основным заголовкам WebRequest, и вы можете просто добавить свою собственную пару ключ/значение. например http://stackoverflow.com/questions/8434357/how-can-i-add-htt-request-header-to-silverlight-ria-requests – user381624