我有一个想法,我想漂浮到聪明的serverFault人挑选漏洞。
我正在寻找一种方法来lockingIIS中的第三方应用程序。 这是一个networking服务,所以没有login页面或任何东西,这意味着在VPN环境中使用。 我试图把它放在没有VPN的networking上,想着为它增加某种安全性的方法。 我需要限制它到某个networking,它是一个商业产品,所以我可能会说,你需要在私人networking(即不是公共WiFi)使用它。 我的想法是在IIS中使用IP地址限制,编写一个用户安装的应用程序,并使其每隔几分钟用当前的IP更新服务器,然后服务器将阻止除最近更新的应用程序之外的所有应用程序。
这有多安全? 这个主意有什么重大缺陷吗? 或者有没有更好的方法来做到这一点在IIS?
我可以看到一个重大的缺陷 – 攻击者所要做的就是劫持一个通信,然后应用程序将只与他们的计算机通话。 实际上,观察交通情况并不难,看看会有什么需要。
当然,你可以使用公钥/私钥对来encryption以避免这个问题,然后你就可以进行身份validation – 这似乎是一个更好的主意。
我们使用客户端证书。 他们需要在IIS级别,而不是在应用程序,所以没有mods那里。 那么任何想要的人都必须拥有我们发布的客户端证书,所以无论他们从哪里运行,都不重要。 当然,这不会限制它到某个networking,只是某些机器有证书。