私はいくつかのWebメソッドを持つWebサービスを持っています。それぞれのWebメソッドはクライアントマシンにMACアドレスを送信する必要があり、サーバーはこの情報でこのクライアントベースを検証します(有効ではない場合はエラーを返します)。クライアントとサーバー間の通信はHTTPSです。私は約20人のクライアントしかいない。問題は、この権利を行う私の方法/安全かどうかです。そうでない場合、これを行う簡単な方法がありますか?ASP.Net Webサービスは十分安全ですか?
おかげで、
私はいくつかのWebメソッドを持つWebサービスを持っています。それぞれのWebメソッドはクライアントマシンにMACアドレスを送信する必要があり、サーバーはこの情報でこのクライアントベースを検証します(有効ではない場合はエラーを返します)。クライアントとサーバー間の通信はHTTPSです。私は約20人のクライアントしかいない。問題は、この権利を行う私の方法/安全かどうかです。そうでない場合、これを行う簡単な方法がありますか?ASP.Net Webサービスは十分安全ですか?
おかげで、
それは「十分に確保する」のは誰な定義は存在しない、あなたのセキュリティ要件に依存します。他の人が言っているように、MACは偽装されていて、事実上、ただの秘密/パスワードです。しかし、HTTPSによって接続の秘密性が保証される多くのシナリオでは、これで十分です。システムを保護したい脅威と、セキュリティにどれだけ投資する意思があるかを定義する必要があります。
クライアントは、許可されたマシンのMACアドレスを偽装することができます。したがって、これは安全ではありません。
クライアント証明書でWebサービスを保護すると、セキュリティが向上します。
私の場合はあなたのコメントに感謝します。匿名のクライアントからの不正なコール(MACアドレスが違う)からサービスを保護し、サーバの負荷に不必要なストレスを与えますか? – Leo
その場合は、現在のソリューションがうまくいくと思っており、基本的なフォーム認証も良い解決策になると思います。 MACを使用する際の主な問題は、MACを簡単に変更することができないことです。従業員が辞めて、彼が知っている秘密を変更しなければならない場合。 –