私はサーバー/クライアントアプリケーションを作成しました。どちらもC#で書かれています。カスタムSSL実装でTCP/IP通信を使用します。 現在ログイン手順では、ログインにユーザー名とパスワードのペアが必要です。C# - WinFormsでのシングルサインオンの実装(Outlookのように)
ユーザー名とパスワードの必要性を排除するために、シングルサインオンの実装を依頼されました。
クライアントが起動すると、現在ログインしているユーザーのSIDが決定され、サーバーに送信され、この接続がSIDによってユーザーにマップされます。
このソリューションはうまくいきますが、安全なソリューションではありません。
クライアントの名前は強く、難読化されています。
私はこのログインをハックすることが可能であると私はそれがビューのハッカーの観点から非常に簡単だと思いますどのように考え始めた: - 強い削除 - ネットワーク上のユーザーのSIDを調べるには問題 ではありません現在のコードではなくハードコードされたSIDを使用するように適切なコードを変更すると、簡単に実装できます
あなたはどう思いますか? もっと良い解決策を教えてもらえますか? セキュリティを改善する方法を教えていただけますか?
Outlookでユーザー認証を処理する方法を教えてください。 (私は推測/ Outlookを騙すのは簡単ではないことを願って)
ありがとう!