WCF传输安全漏洞

Question

在Lowy的第二版"Programming WCF Services“上，第10章，第512页。

Lowy谈到传输安全性时说:它的主要缺点是它只能保证传输安全点对点，这意味着当客户端直接连接到服务时。在客户端和服务之间使用多个中介体会使传输安全性变得可疑，因为这些中介体可能不安全。因此，传输安全性通常只由intranet应用程序使用。

HTTPS是传输安全选项之一，上一段如何适用于HTTPS ?!!，HTTPS会从开始到结束对所有内容进行加密。此外，世界上的每个电子商务应用程序都在使用HTTPS，您如何将其限制在intranet应用程序！！

谢谢

Answer 1

HTTPS从点对点对数据进行加密，一旦数据到达其中一个点并被解密，从该点开始就不再有任何安全保证。然而，中间节点不能读取信息。

另一方面，消息安全可以加密仅由某个接收者解密的数据，该接收者可以是独立于接收端的实体。接收端可能最终将加密的消息转发给能够解密该消息的预期接收者。

一个类比就是电子邮件。如果您使用传输安全性(例如HTTPS)与您的邮件服务器建立连接，则保证从您的计算机到邮件服务器的所有信息都是安全的。但是，任何有权访问邮件服务器的人(例如服务器管理员)都可以阅读电子邮件的内容。

另一方面，如果您使用消息安全性对消息进行加密，以便只有指定的收件人可以对其进行解密，则实际的电子邮件消息将被加密(而不仅仅是您与服务器之间的通信)，因此，即使消息被服务器接收，它仍然是加密的。只有当电子邮件服务器将您的邮件转发给您的目标收件人时，收件人才能使用他自己的私钥对邮件进行解密，从而在整个传递过程中保持电子邮件的私密性，而不需要发件人和该收件人直接通信，这是传输级安全性所要求的。

当然，消息的某些部分必须对电子邮件服务器可见，例如收件人地址，因此您可能希望使用两个级别的安全:消息安全将确保邮件服务器(或除收件人之外的任何一方)无法读取您的电子邮件内容，传输安全将另外确保监听您和您的邮件服务器之间的通信的第三方不会发现您正在向谁发送电子邮件(除非邮件服务器将该信息泄露给该第三方)。