WCF e la sicurezza by design

di Stefano Mostarda, in .NET 3.0,

Se c'è una cosa che mi piace fare è costringere l'utente a lavorare bene. Non mi importa se questo deve fare il doppio della fatica. Creare shortcut per far lavorare l'utente di meno, correndo il rischio però di fargli fare porcate, è una cosa dannosa per l'applicazione, per l'utente che deve stare più attento, ed infine per me che devo rimediare.

Cosa c'entra questo con WCF? Semplice. Complice un servizio che devo realizzare per lavoro, ho cominciato a ragionare molto approfonditamente sulla sicurezza. Tra le varie prove che stavo facendo, ho provato a creare un servizio che autenticasse il client in base a username e password utilizzando il wsHttpBinding. Quando vado ad eseguire il servizio scopro che scoppia. All'inizio non avevo dato peso ad un'affermazione sulla documentazione che diceva più o meno così: "poichè WCF non esegue operazioni di critografia sullo username, è obbligatorio che il canale di trasporto sia sicuro". In altre parole, se il servizio non viaggia su HTTPS, non si può usare username e password con il wsHttpBinding perchè altrimenti si avrebbero alcuni dati in chiaro.

All'inizio, come l'utente che vuole fare di meno, ho pensato che fosse una costrizione frustrante; ma poi ho pensato che la scelta è stata esemplare poichè la sicurezza è stata messa ancor prima del primo posto. Ancora una volta WCF mi ha gradevolmente stupito.

E intnto il Real Code Day si avvicina...

Stay Tuned...

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Nella stessa categoria
I più letti del mese