none
WCFでリプレイ攻撃に対処する方法 RRS feed

  • 質問

  • zafiel000と申します。よろしくお願いいたします
    何度か質問させていただいておりますが、WCFのサービス、クライアントの通信に関してご教授いただけないかと思いまして投稿いたします。

    現行のシステムではWCFサービスにwindows formアプリケーション(クライアント)がアクセスし、データのやり取りをしています。認証方法については、参考にあるユーザー名、パスワードを用いたカスタム認証を行っています(セキュリティモード、バインディングもサンプルと同様です)。
    参考 https://msdn.microsoft.com/ja-jp/library/aa702565(vs.80).aspx)

    このような認証方式をとる場合、リプレイ攻撃の対処としてWSEと同様にノンスやタイムスタンプをUsernameTokenに含めるコードを自前で実装する必要はあるのでしょうか。こちらのURLにて実装例が示されており、当方も実装すべきか迷っております。
    http://weblog.west-wind.com/posts/2012/Nov/24/WCF-WSSecurity-and-WSE-Nonce-Authentication

    WCF内にてリプレイ攻撃に対応できるような仕組みが備わっているのかどうか、ご存知の方いらっしゃいましたらご教授いただけますと幸いです。

    よろしくお願いいたします。
    2015年9月9日 10:45