如何在Silverlight中隐藏WCF服务地址？

Question

我们有使用WCF服务的silverlight应用程序。在渗透测试中，我们发现了一些问题。其中一个建议是在silverlight端对WCF服务地址进行加扰/加密。

这是一种标准做法，还是有任何价值？如果服务是安全的，用户是否能够通过知道WCF服务的位置来获得任何信息。因为用户总是可以反编译silverlight xap并了解我们是如何加密WCF地址的。

Answer 1

在您发布的数据中隐藏秘密(例如，在客户端代码中)是一个众所周知的难题。基本上，这就是DRM系统要做的事情，而且它们都不是防黑客的。如果您将秘密和检索该秘密的代码都提供给某人，则会有人破解该秘密。正如JeffN825所指出的，你可以使用网络监控工具来找出地址(使用HTTPS地址会有点困难，但仍然是可能的)。因此，我不会花太多的精力来隐藏地址，这只是一个模糊的安全，只会延迟潜在的攻击者。如果服务需要用户身份验证，我只会专注于确保这一部分的安全。如果你试图认证应用程序，而不是用户，这是一个更加困难的问题，需要一个完整的单独讨论，但它不能通过地址隐藏来解决。