Jak najlepiej zabezpieczyć dane przesyłane między różnymi warstwami projektu?

0

Tworzę większy projekt, i mam w nim kilka rodzajów połączeń między warstwami.

Projekt składa się z takich warstw:

serwerAsp: stronka napisana w ASP.NET.
desktop: program desktopowy w WPF.
baza: baza danych MySQL.

Połączenia mam takie(oba dotyczą przesyłania loginu, hasła i innych danych):

przeglądarka użytkownika -> serwerAsp (tu przesył to czysty tekst)
desktop/serwerAsp -> baza (a tu to częściowe MD5)

Chciałbym możliwie najlepiej zabezpieczyć dane przekazywane z jednej warstwy do drugiej. Co i gdzie warto zastosować?

Między przeglądarką, a serwerem asp przesyłam czysty tekst - co wiem, że jest bardzo kiepskim pomysłem. Powinienem zastosować jakieś SSL? Muszę wtedy mieć jakieś drogie certyfikaty, czy da się się to zrobić po 'domowemu'?

Między desktop/serwerAsp a bazą, przesyłam login jako tekst, a hasło zaszyfrowane w jakimś MD5. Czy powinienem tu dodać jakieś SLL? Czy jest taka konieczność, tak aby było dobrze? Jeżeli tak, to jak? Zmiana w connection stringu wystarczy?

0

najprościej było by skorzystać po prostu z SSLa ale czy MySQL obsługuje taką zaawansowaną technologię...

1

o kodzie to mam w podpisie. Najpierw zobacz jakie możliwości oferuje mysql, którego masz. Czy masz możliwość coś do niego dograć? Bo jak po stronie bazy dupa to nie ma co kombinować. BTW może tunel ssl wystarczy? Albo VPN między desktopem a bazą. BTW2 czy baza i serwer www stoją na tej samej maszynie?

1

my wysyłamy rózne rzeczy po wcf, i szyfrujemy loginy i hasła AESem :) szyfrowania nie jest dużo wiec przechodzi :)

1

Może WCF i WsHttpBinding? http://www.codeproject.com/Articles/36396/Difference-between-BasicHttpBinding-and-WsHttpBind

0

Tak, tak, tak. WCF będzie bardzo dobry, tym bardziej, że robię jeszcze aplikację na WP7. Danke!
Zostało mi jedno pytanie. Przeglądarka użytkownika --(logowanie)--> serwer ASP.NET. Co tu mogę zrobić, aby zabezpieczyć się przed wysnifowaniem hasła? Używam FormsAuthentication, choć to chyba nie ma znaczenia(?).

1
Jakub Baran napisał(a):

Tak, tak, tak. WCF będzie bardzo dobry, tym bardziej, że robię jeszcze aplikację na WP7. Danke!
Zostało mi jedno pytanie. Przeglądarka użytkownika --(logowanie)--> serwer ASP.NET. Co tu mogę zrobić, aby zabezpieczyć się przed wysnifowaniem hasła? Używam FormsAuthentication, choć to chyba nie ma znaczenia(?).

SSL

1
Jakub Baran napisał(a):

Tak, tak, tak. WCF będzie bardzo dobry, tym bardziej, że robię jeszcze aplikację na WP7. Danke!
Zostało mi jedno pytanie. Przeglądarka użytkownika --(logowanie)--> serwer ASP.NET. Co tu mogę zrobić, aby zabezpieczyć się przed wysnifowaniem hasła? Używam FormsAuthentication, choć to chyba nie ma znaczenia(?).

OAuth.

http://oauth.net/

1 użytkowników online, w tym zalogowanych: 0, gości: 1