CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede lasserasch Juniormester
20. marts 2012 - 18:31 Der er 7 kommentarer

Sikring af Web Page Method som leverer Hash nøgle

Hejsa.

Mit scenarie er :

1. Jeg har en REST Webservice som leverer nogle store JSON/XML Datasæt. Denne webservice er sikret via kryptering med private/public key som serveren hvorpå servicen ligger kender og requesteren kender. Altså vedkommende som kalder REST servicen.

De genrerer en HASH ud fra en bestemt algoritme som bl.a. indeholder deres public og private key, nærmeste kvarter, året, dag på året og nogle flere oplysninger.

Alt det virker fint. Det betyder at den hash de sender med alle requests til REST servicen udløber inden for max 7 minutter fra den er genereret.


2. Jeg har lavet en REST Webservice som fungerer som proxy.
Dvs, denne service kalder min første service.
Når den får response retur cacher den det og behandler det.

Denne service modtager en hash nøgle fra kalderen og sender med når den kalder webservice nr. 1.

3. Jeg har så også en Iphone app som kalder Webservice nr. 2.
Denne app kender naturligvis private og publickey i sin kode. Den generer en nøgle hver gang den kalder webservice nr. 2.

Alt fint her...


4. Jeg skal nu lave en webside som også skal bruge Webservice nr. 2. Men det er Jquery som skal hente data og vise på et Google Map kort.

Jeg kan selvfølgelig ikke have public/private key liggende i Client Side kode.
Derfor tænkte jeg om man kunne lave en statisk metode på den side hvor google kortet ligger og mærkede den op med WebMethod.

Denne metode skulle så retunere en string som indeholdt en gyldig Hash nøgle. På den måde ville public/private key ikke blive eksporneret og Jquery ville stadig kunne kalde WebService nr. 2.

Men nu læser jeg mig så frem til at Web PageMethods sagtens kan kaldes fra andre side (også sider fra et helt andet website). Hvilket i princippet betyder at enhver kunne bygge en webside og kalde min metode og derved få udleveret en gyldig Hash nøgle og trække data fra min Webservice nr. 2 eller 1 i ca. 7 min.

Er der ikke en eller anden måde hvorpå man kan sikre sig mod det?

Altså at en Web PageMethod kun kan kaldes fra Jquery på det domæne hvorpå den ligger?

Mvh.
LAsse
Avatar billede arne_v Ekspert
20. marts 2012 - 18:38 #1
Kort svar: nej. Din server side kode modtager et request fra client og du har ingen mulighed for at se hvad der koerer client side. En browser med det tiltaenkte JS. En hjemmelavet browser. Et program. HTTP headere er nemt at saette.

Du skal kigge paa alternativer.
Avatar billede arne_v Ekspert
20. marts 2012 - 18:41 #2
Bedste ide efter 30 sekunders taenkning: lav den web service som returnerer hash kraeve login.
Avatar billede lasserasch Juniormester
20. marts 2012 - 21:19 #3
Ok, men hvis man skal lave login til en webservice og webservicen kaldes fra Jquery. Så skal brugernavn/password vel angives i javascript, og så er man vel lige langt eller hvad?


Jeg tænkte på om man bare kunne sætte en session variabel med en eller anden dummy værdi på websiden som skal indeholde kortet.

Sådan er man f.eks sagde :

Session["allowwsrequests"] = "true";

og hver gang man kalde webservicen fra Jquery, så tjekkede om den session variabel eksisterede på serveren?

En cross site WS request kan vel ikke sætte en session variabel??

Mvh.
Lasse
Avatar billede arne_v Ekspert
20. marts 2012 - 21:27 #4
ideen var at brugeren skulle indtaste brugernavn/password for at faa adgang
Avatar billede arne_v Ekspert
20. marts 2012 - 21:30 #5
Men du er inde paa noget. Hvis brugeren allerde har logget ind i en normal web app, saa kan dit web service kald udnytte dette.

web service i web app => bare check i web service for om bruger er logget ind

web service udenfor web app => lad web app gemme noget i session og saette en cookie, JS hapser den cookie og sender den med i web service kald, web service kalder web app (ny web service) og spoerger om den er god nok
Avatar billede lasserasch Juniormester
22. marts 2012 - 08:25 #6
Lad os bare få lukket den her igen. Smid et svar...

Det virker helt fint med cookie/session validering.

Mvh.
Lasse
Avatar billede arne_v Ekspert
23. marts 2012 - 02:37 #7
ok
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra C# kategorien

Titel Indlæg Oprettet Seneste aktivitet
Søger programmør til hjælp på eksamensprojekt - betaler gerne! Af Caroline BJ i C# 0 12/06/202411:19 -
Drev bogstav som path Af prox1 i C# 5 01/05/202403:58 01/05/202421:24
Tråd programmering Af lasserasch i C# 3 04/12/202313:03 06/01/202419:04
Inspiration til GUI opdatering fra Service lag. Af lasserasch i C# 2 28/11/202308:48 28/11/202319:29
Kan ikke komme igennem azure firewall med fil upload fra web app Af chrisrj i C# 1 28/08/202313:32 28/08/202314:04
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 17:36 støj fra bilradio når jeg oplader min telefon og hører musik via aux stikket Af ibnielsen i Mobiltelefoner
I dag 08:58 Camera til usb > 30 Megapixel Af KurtG i Foto & video
I dag 03:15 omarrangering af skærme Af jcr18 i Skærme
I går 11:41 Windows 10 : Ikke kopiere tekst med Firefox. Men gerne med Opera. Af Ikke-ekspert i Browsere
27/0718:09 Kan ikke fildele fra PC til PC Af gertLundberg i LAN/WAN
White papers
Flere white papers »


Premium
Teaser billede
Her er de tre største it-sikkerhedsudfordringer for bestyrelser: ”De fleste ved ikke, hvilken risiko de står overfor”
Læs mere »
Løsesum betalt efter angreb mod bilforhandlere: Konsekvenserne påvirker USAs økonomi
Huawei er ramt af forbud og anklager om overvågning - men hvert år bliver unge it-ledere fra hele Europa sendt på sommerskole på selskabets regning
Kritikken af Motorregistret tager til: Opdateringer rammer alle elbiler
Se alle »
Computerworld
Teaser billede
Med SearchGPT har verden fået en spritny søgemaskine: Kan den true Googles dominans?
Læs mere »
Test: Endelig kan man få en soundbar der lyder godt - og som ikke behøver nogen klodset subwoofer
Nørgaard: Jeg har jo sagt det gang på gang på gang! VMS er det bedste styresystem EVER! Men lytter folk?! Nej, nej og atter nej!
Apples spritnye app til kodeord kommer til iOS 18: Sådan virker den
Se alle »
CIO
Teaser billede
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Læs mere »
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Stor aftale gør Microsofts datacentre hurtigere - investerer i netværksudstyr
Top-CIO Rasmus Lundgaard Pedersen balancerer hele tiden mellem to poler
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Guide: Sådan udvikler du en moderne netværksstrategi
Læs mere »
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Opdag fordelene ved cloud-baseret backup og recovery
Sådan får du overblik og beskytter dine cloudapplikationer
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »