Sdílet prostřednictvím

Rámec zabezpečení: Citlivá data | Zmírnění rizik

Produkt/služba Článek
Hranice důvěryhodnosti počítače
Webová aplikace
Databáze
Webové rozhraní API
Azure Document DB
Hranice důvěryhodnosti virtuálních počítačů Azure IaaS
Hranice důvěryhodnosti Service Fabric
Dynamics CRM
Azure Storage
Mobilní klient
WCF

Ujistěte se, že binární soubory jsou obfuskované, pokud obsahují citlivé informace.

Nadpis Details
Součást Hranice důvěryhodnosti počítače
SDL Phase Nasazení
Použitelné technologie Generic
Attributes N/A
Odkazy N/A
Kroky Ujistěte se, že binární soubory jsou obfuskované, pokud obsahují citlivé informace, jako jsou obchodní tajemství, citlivá obchodní logika, která by neměla být obrácena. This is to stop reverse engineering of assemblies. K tomuto účelu se dají použít nástroje jako CryptoObfuscator.

Zvažte použití systému souborů EFS (Encrypted File System) k ochraně důvěrných dat specifických pro uživatele.

Nadpis Details
Součást Hranice důvěryhodnosti počítače
SDL Phase Build
Použitelné technologie Generic
Attributes N/A
Odkazy N/A
Kroky Zvažte použití systému souborů EFS (Encrypted File System) k ochraně důvěrných dat specifických pro uživatele před nežádoucími osobami s fyzickým přístupem k počítači.

Ujistěte se, že jsou citlivá data uložená aplikací v systému souborů zašifrovaná.

Nadpis Details
Součást Hranice důvěryhodnosti počítače
SDL Phase Nasazení
Použitelné technologie Generic
Attributes N/A
Odkazy N/A
Kroky Ujistěte se, že citlivá data uložená aplikací na souborovém systému jsou šifrovaná (např. pomocí DPAPI), pokud nelze vynutit použití EFS.

Ujistěte se, že citlivý obsah není uložený v mezipaměti v prohlížeči.

Nadpis Details
Součást Webová aplikace
SDL Phase Build
Použitelné technologie Obecné, Webové formuláře, MVC5, MVC6
Attributes N/A
Odkazy N/A
Kroky Prohlížeče můžou ukládat informace pro účely ukládání do mezipaměti a historie. Tyto soubory uložené v mezipaměti jsou uložené ve složce, například ve složce Dočasné soubory Internetu v případě Aplikace Internet Explorer. Když se tyto stránky znovu odkazují, prohlížeč je zobrazí z mezipaměti. Pokud se uživateli zobrazí citlivé informace (například jeho adresa, podrobnosti o platební kartě, číslo sociálního pojištění nebo uživatelské jméno), můžou být tyto informace uložené v mezipaměti prohlížeče, a proto je možné je načíst prostřednictvím zkoumání mezipaměti prohlížeče nebo jednoduše stisknutím tlačítka Zpět prohlížeče. Set cache-control response header value to "no-store" for all pages.

Příklad

<configuration>
  <system.webServer>
   <httpProtocol>
    <customHeaders>
        <add name="Cache-Control" value="no-store" />
        <add name="Pragma" value="no-cache" />
        <add name="Expires" value="-1" />
    </customHeaders>
  </httpProtocol>
 </system.webServer>
</configuration>

Příklad

To může být implementováno prostřednictvím filtru. Můžete použít následující příklad:

public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            if (filterContext == null || (filterContext.HttpContext != null && filterContext.HttpContext.Response != null && filterContext.HttpContext.Response.IsRequestBeingRedirected))
            {
                //// Since this is MVC pipeline, this should never be null.
                return;
            }

            var attributes = filterContext.ActionDescriptor.GetCustomAttributes(typeof(System.Web.Mvc.OutputCacheAttribute), false);
            if (attributes == null || **Attributes**.Count() == 0)
            {
                filterContext.HttpContext.Response.Cache.SetNoStore();
                filterContext.HttpContext.Response.Cache.SetCacheability(HttpCacheability.NoCache);
                filterContext.HttpContext.Response.Cache.SetExpires(DateTime.UtcNow.AddHours(-1));
                if (!filterContext.IsChildAction)
                {
                    filterContext.HttpContext.Response.AppendHeader("Pragma", "no-cache");
                }
            }

            base.OnActionExecuting(filterContext);
        }

Šifrování oddílů konfiguračních souborů webové aplikace obsahujících citlivá data

Nadpis Details
Součást Webová aplikace
SDL Phase Build
Použitelné technologie Generic
Attributes N/A
Odkazy Postupy: Šifrování oddílů konfigurace v ASP.NET 2.0 pomocí DPAPI, Určení zprostředkovatele chráněné konfigurace, Pomocí služby Azure Key Vault k ochraně tajemství aplikací
Kroky Konfigurační soubory, jako je web.config, appsettings.json se často používají k uchovávání citlivých informací, včetně uživatelských jmen, hesel, databázových připojovací řetězec a šifrovacích klíčů. Pokud tyto informace nechráníte, je vaše aplikace zranitelná vůči útočníkům nebo uživatelům se zlými úmysly, kteří získávají citlivé informace, jako jsou uživatelská jména účtů a hesla, názvy databází a názvy serverů. Na základě typu nasazení (azure/místní prostředí) zašifrujte citlivé části konfiguračních souborů pomocí DPAPI nebo služeb, jako je Azure Key Vault.

Explicitly disable the autocomplete HTML attribute in sensitive forms and inputs

Nadpis Details
Součást Webová aplikace
SDL Phase Build
Použitelné technologie Generic
Attributes N/A
Odkazy MSDN: autocomplete attribute, Using AutoComplete in HTML, HTML Sanitization Vulnerability, Autocomplete.,again?!
Kroky Atribut automatického dokončování určuje, jestli má formulář mít zapnuté nebo vypnuté automatické dokončování. Když je zapnuté automatické dokončování, prohlížeč automaticky dokončí hodnoty na základě hodnot, které uživatel zadal dříve. Když například do formuláře zadáte nové jméno a heslo a formulář se odešle, prohlížeč se zeptá, jestli se má heslo uložit. Po zobrazení formuláře se jméno a heslo vyplní automaticky nebo se vyplní při zadávání jména. Útočník s místním přístupem by mohl získat jasné textové heslo z mezipaměti prohlížeče. Ve výchozím nastavení je automatické dokončování povolené a musí být explicitně zakázané.

Příklad

<form action="Login.aspx" method="post " autocomplete="off" >
      Social Security Number: <input type="text" name="ssn" />
      <input type="submit" value="Submit" />    
</form>

Ujistěte se, že jsou citlivá data zobrazená na obrazovce uživatele maskovaná.

Nadpis Details
Součást Webová aplikace
SDL Phase Build
Použitelné technologie Generic
Attributes N/A
Odkazy N/A
Kroky Citlivá data, jako jsou hesla, čísla platebních karet, SSN atd., by se při zobrazení na obrazovce měla maskovat. Tím zabráníte neoprávněným osobám v přístupu k datům (např. zezadu pozorování zadávání hesel, pracovníci podpory prohlížející čísla SSN uživatelů). Ujistěte se, že tyto datové prvky nejsou viditelné ve formátu prostého textu a jsou správně maskované. Je třeba dbát opatrnosti při přijímání těchto prvků jako vstup (např. input type="password") a při jejich zpětném zobrazení na obrazovce (např. zobrazit pouze poslední 4 číslice čísla kreditní karty).

Implementace dynamického maskování dat pro omezení ohrožení citlivých dat neprivilegovanými uživateli

Nadpis Details
Součást Databáze
SDL Phase Build
Použitelné technologie Sql Azure, OnPrem
Attributes SQL Version - V12, SQL Version - MsSQL2016
Odkazy Dynamické maskování dat
Kroky Účelem dynamického maskování dat je omezit vystavení citlivých dat a zabránit uživatelům, kteří by k datům neměli mít přístup. Dynamické maskování dat nemá za cíl zabránit uživatelům databáze v přímém připojení k databázi a spouštění vyčerpávajících dotazů, které zpřístupňují části citlivých dat. Dynamické maskování dat doplňuje další funkce zabezpečení SQL Serveru (auditování, šifrování, zabezpečení na úrovni řádků...) a důrazně se doporučuje tuto funkci používat společně s nimi, aby bylo možné lépe chránit citlivá data v databázi. Upozorňujeme, že tuto funkci podporuje jenom SQL Server od verze 2016 a Azure SQL Database.

Ujistěte se, že hesla jsou uložená ve formátu slané hodnoty hash.

Nadpis Details
Součást Databáze
SDL Phase Build
Použitelné technologie Generic
Attributes N/A
Odkazy Hashování hesel pomocí rozhraní .NET Crypto API
Kroky Hesla by neměla být uložená ve vlastních databázích úložiště uživatelů. Password hashes should be stored with salt values instead. Make sure the salt for the user is always unique and you apply b-crypt, s-crypt or PBKDF2 before storing the password, with a minimum work factor iteration count of 150,000 loops to eliminate the possibility of brute forcing.

Ujistěte se, že jsou citlivá data v databázových sloupcích šifrovaná.

Nadpis Details
Součást Databáze
SDL Phase Build
Použitelné technologie Generic
Attributes SQL Version - All
Odkazy Šifrování citlivých dat na SQL Serveru, Postupy: Šifrování sloupce dat v SQL Serveru, Šifrování certifikátem
Kroky Citlivá data, jako jsou čísla platebních karet, musí být v databázi zašifrovaná. Data je možné šifrovat pomocí šifrování na úrovni sloupců nebo pomocí funkce aplikace pomocí šifrovacích funkcí.

Ujistěte se, že je povolené šifrování na úrovni databáze (TDE).

Nadpis Details
Součást Databáze
SDL Phase Build
Použitelné technologie Generic
Attributes N/A
Odkazy Principy transparentní šifrování dat SQL Serveru (TDE)
Kroky funkce transparentní šifrování dat (TDE) na SQL Serveru pomáhá šifrovat citlivá data v databázi a chránit klíče, které se používají k šifrování dat pomocí certifikátu. Tím zabráníte, aby data nepoužádá nikdo bez klíčů. TDE protects data "at rest", meaning the data and log files. Poskytuje možnost dodržovat mnoho zákonů, předpisů a pokynů stanovených v různých odvětvích.

Ujistěte se, že jsou zálohy databáze šifrované.

Nadpis Details
Součást Databáze
SDL Phase Build
Použitelné technologie SQL Azure, OnPrem
Attributes Verze SQL – V12, verze SQL – MsSQL2014
Odkazy Šifrování zálohování databáze SQL
Kroky SQL Server má možnost šifrovat data při vytváření zálohy. Zadáním šifrovacího algoritmu a šifrovacího algoritmu (certifikátu nebo asymetrického klíče) při vytváření zálohy můžete vytvořit šifrovaný záložní soubor.

Ujistěte se, že citlivá data relevantní pro webové rozhraní API nejsou uložená v úložišti prohlížeče.

Nadpis Details
Součást Webové rozhraní API
SDL Phase Build
Použitelné technologie MVC 5, MVC 6
Attributes Zprostředkovatel identity – ADFS, zprostředkovatel identity – Microsoft Entra ID
Odkazy N/A
Kroky

V určitých implementacích se citlivé artefakty relevantní pro ověřování webového rozhraní API ukládají v místním úložišti prohlížeče. E.g., Microsoft Entra authentication artifacts like adal.idtoken, adal.nonce.idtoken, adal.access.token.key, adal.token.keys, adal.state.login, adal.session.state, adal.expiration.key etc.

Všechny tyto artefakty jsou k dispozici i po zavření odhlášení nebo prohlížeče. Pokud nežádoucí osoba získá přístup k těmto artefaktům, může je znovu použít pro přístup k chráněným prostředkům (API). Ujistěte se, že všechny citlivé artefakty související s webovým rozhraním API nejsou uložené v úložišti prohlížeče. V případech, kdy je úložiště na straně klienta nepoužitelné (např. jednostránkové aplikace (SPA), které využívají implicitní toky OpenIdConnect/OAuth, potřebují ukládat přístupové tokeny místně), použijte volby úložiště, které nemají trvalost. Například preferovat SessionStorage s localStorage.

Příklad

Následující fragment kódu JavaScriptu pochází z vlastní knihovny ověřování, která ukládá artefakty ověřování v místním úložišti. Takové implementace by se měly vyhnout.

ns.AuthHelper.Authenticate = function () {
window.config = {
instance: 'https://login.microsoftonline.com/',
tenant: ns.Configurations.Tenant,
clientId: ns.Configurations.AADApplicationClientID,
postLogoutRedirectUri: window.location.origin,
cacheLocation: 'localStorage', // enable this for Internet Explorer, as sessionStorage does not work for localhost.
};

Šifrování citlivých dat uložených ve službě Azure Cosmos DB

Nadpis Details
Součást Azure Document DB
SDL Phase Build
Použitelné technologie Generic
Attributes N/A
Odkazy N/A
Kroky Šifrování citlivých dat na úrovni aplikace před uložením do databáze dokumentů nebo uložením citlivých dat v jiných řešeních úložiště, jako je Azure Storage nebo Azure SQL

Použití služby Azure Disk Encryption k šifrování disků používaných virtuálními počítači

Nadpis Details
Součást Hranice důvěryhodnosti virtuálních počítačů Azure IaaS
SDL Phase Nasazení
Použitelné technologie Generic
Attributes N/A
Odkazy Použití služby Azure Disk Encryption k šifrování disků používaných virtuálními počítači
Kroky

Azure Disk Encryption je nová funkce, která je aktuálně ve verzi Preview. Tato funkce umožňuje šifrovat disky s operačním systémem a datové disky používané virtuálním počítačem IaaS. For Windows, the drives are encrypted using industry-standard BitLocker encryption technology. V případě Linuxu se disky šifrují pomocí technologie DM-Crypt. Tato funkce je integrovaná se službou Azure Key Vault, která umožňuje řídit a spravovat šifrovací klíče disku. Řešení Azure Disk Encryption podporuje následující tři scénáře šifrování zákazníků:

  • Povolte šifrování na nových virtuálních počítačích IaaS vytvořených ze souborů VHD šifrovaných zákazníkem a šifrovacích klíčů poskytovaných zákazníkem, které jsou uložené ve službě Azure Key Vault.
  • Povolte šifrování na nových virtuálních počítačích IaaS vytvořených z Azure Marketplace.
  • Povolte šifrování u existujících virtuálních počítačů IaaS, které už běží v Azure.

Šifrování tajných kódů v aplikacích Service Fabric

Nadpis Details
Součást Hranice důvěryhodnosti Service Fabric
SDL Phase Build
Použitelné technologie Generic
Attributes Prostředí – Azure
Odkazy Správa tajných kódů v aplikacích Service Fabric
Kroky Tajné kódy můžou být citlivé informace, jako jsou připojovací řetězce úložiště, hesla nebo jiné hodnoty, které by neměly být zpracovávány ve formátu prostého textu. Azure Key Vault slouží ke správě klíčů a tajných kódů v aplikacích Service Fabric.

Modelování zabezpečení a použití obchodních jednotek nebo týmů v případě potřeby

Nadpis Details
Součást Dynamics CRM
SDL Phase Build
Použitelné technologie Generic
Attributes N/A
Odkazy N/A
Kroky Modelování zabezpečení a použití obchodních jednotek nebo týmů v případě potřeby

Minimalizace přístupu ke sdílení funkce u důležitých entit

Nadpis Details
Součást Dynamics CRM
SDL Phase Nasazení
Použitelné technologie Generic
Attributes N/A
Odkazy N/A
Kroky Minimalizace přístupu ke sdílení funkce u důležitých entit

Trénujte uživatele na rizika spojená s funkcí Dynamics CRM Share a osvědčenými postupy zabezpečení

Nadpis Details
Součást Dynamics CRM
SDL Phase Nasazení
Použitelné technologie Generic
Attributes N/A
Odkazy N/A
Kroky Trénujte uživatele na rizika spojená s funkcí Dynamics CRM Share a osvědčenými postupy zabezpečení

Zahrnutí pravidla vývojových standardů zakazujícího zobrazení podrobností konfigurace ve správě výjimek.

Nadpis Details
Součást Dynamics CRM
SDL Phase Nasazení
Použitelné technologie Generic
Attributes N/A
Odkazy N/A
Kroky Zahrňte pravidlo vývojových standardů, které zakazuje zobrazování podrobností konfigurace ve správě výjimek mimo prostředí vývoje. Otestujte to jako součást kontrol kódu nebo pravidelné kontroly.

Použití šifrování služby Azure Storage (SSE) pro neaktivní uložená data (Preview)

Nadpis Details
Součást Azure Storage
SDL Phase Build
Použitelné technologie Generic
Attributes StorageType - Blob
Odkazy Šifrování služby Azure Storage pro neaktivní uložená data (Preview)
Kroky

Šifrování služby Azure Storage (SSE) pro neaktivní uložená data pomáhá chránit a zabezpečit vaše data, aby splňovala závazky organizace ohledně zabezpečení a souladu s předpisy. Pomocí této funkce služba Azure Storage automaticky šifruje vaše data před zachováním v úložišti a dešifruje před jejich načtením. Šifrování, dešifrování a správa klíčů jsou pro uživatele zcela transparentní. SSE applies only to block blobs, page blobs, and append blobs. Ostatní typy dat, včetně tabulek, front a souborů, nebudou šifrované.

Pracovní postup šifrování a dešifrování:

  • Zákazník povolí šifrování účtu úložiště.
  • Když zákazník zapíše nová data (PUT Blob, PUT Block, PUT Page atd.) do úložiště objektů blob; každý zápis je šifrovaný pomocí 256bitového šifrování AES, jednoho z nejsilnějších dostupných blokových šifer.
  • Když zákazník potřebuje získat přístup k datům (GET Blob atd.), data se před návratem k uživateli automaticky dešifrují.
  • Pokud je šifrování zakázané, nové zápisy se už nešifrují a stávající šifrovaná data zůstanou zašifrovaná, dokud uživatel nepřepíše. I když je šifrování povolené, zápisy do úložiště objektů blob se zašifrují. Stav dat se u uživatele, který přepíná mezi povolením nebo zakázáním šifrování účtu úložiště, se nezmění.
  • Všechny šifrovací klíče se ukládají, šifrují a spravují microsoftem.

Upozorňujeme, že v tuto chvíli spravuje Microsoft klíče používané k šifrování. Microsoft vygeneruje klíče původně a spravuje zabezpečené úložiště klíčů a také pravidelnou obměnu definovanou interními zásadami Microsoftu. V budoucnu zákazníci získají možnost spravovat vlastní šifrovací klíče a poskytovat cestu migrace z klíčů spravovaných Microsoftem na klíče spravované zákazníky.

Použití šifrování na straně klienta k ukládání citlivých dat ve službě Azure Storage

Nadpis Details
Součást Azure Storage
SDL Phase Build
Použitelné technologie Generic
Attributes N/A
Odkazy Šifrování na straně klienta a Azure Key Vault pro Microsoft Azure Storage, kurz: Šifrování a dešifrování objektů blob v Microsoft Azure Storage pomocí služby Azure Key Vault a bezpečné ukládání dat ve službě Azure Blob Storage pomocí rozšíření Azure Encryption
Kroky

Balíček NuGet služby Azure Storage pro .NET podporuje šifrování dat v klientských aplikacích před nahráním do služby Azure Storage a dešifrováním dat při stahování do klienta. Knihovna také podporuje integraci se službou Azure Key Vault pro správu klíčů účtu úložiště. Tady je stručný popis fungování šifrování na straně klienta:

  • Klientská sada SDK služby Azure Storage generuje šifrovací klíč obsahu (CEK), což je jednorázový symetrický klíč.
  • Zákaznická data se šifrují pomocí tohoto klíče CEK.
  • The CEK is then wrapped (encrypted) using the key encryption key (KEK). Klíč KEK je identifikován identifikátorem klíče a může se jednat o asymetrický pár klíčů nebo symetrický klíč a dá se spravovat místně nebo ukládat ve službě Azure Key Vault. Samotný klient služby Storage nikdy nemá přístup k klíči KEK. Právě vyvolá algoritmus obtékání klíčů, který poskytuje Služba Key Vault. Zákazníci se můžou rozhodnout použít vlastní zprostředkovatele pro zabalení nebo rozbalení klíčů, pokud chtějí.
  • Šifrovaná data se pak nahrají do služby Azure Storage. Projděte si odkazy v části reference, kde najdete podrobnosti o implementaci nízké úrovně.

Šifrování citlivých dat nebo dat PII zapsaných do místního úložiště telefonů

Nadpis Details
Součást Mobilní klient
SDL Phase Build
Použitelné technologie Generic
Attributes N/A
Odkazy Správa nastavení a funkcí na zařízeních pomocí zásad Microsoft Intune
Kroky

Pokud aplikace zapisuje citlivé informace, jako jsou osobní údaje uživatele (e-mail, telefonní číslo, křestní jméno, příjmení, předvolby atd.).- v mobilním systému souborů, pak by měl být před zápisem do místního systému souborů zašifrován. Pokud se jedná o podnikovou aplikaci, prozkoumejte možnost publikování aplikace pomocí Windows Intune.

Příklad

Intune je možné nakonfigurovat pomocí následujících zásad zabezpečení, které chrání citlivá data:

Require encryption on mobile device    
Require encryption on storage cards
Allow screen capture

Příklad

Pokud aplikace není podniková aplikace, použijte úložiště klíčů poskytovaná platformou, klíčenky k ukládání šifrovacích klíčů, pomocí kterých se v systému souborů může provádět kryptografická operace. Následující fragment kódu ukazuje, jak získat přístup k klíči z řetězce klíčů pomocí .NET pro iOS:

        protected static string EncryptionKey
        {
            get
            {
                if (String.IsNullOrEmpty(_Key))
                {
                    var query = new SecRecord(SecKind.GenericPassword);
                    query.Service = NSBundle.MainBundle.BundleIdentifier;
                    query.Account = "UniqueID";

                    NSData uniqueId = SecKeyChain.QueryAsData(query);
                    if (uniqueId == null)
                    {
                        query.ValueData = NSData.FromString(System.Guid.NewGuid().ToString());
                        var err = SecKeyChain.Add(query);
                        _Key = query.ValueData.ToString();
                    }
                    else
                    {
                        _Key = uniqueId.ToString();
                    }
                }

                return _Key;
            }
        }

Zamaskujte vygenerované binární soubory před distribucí koncovým uživatelům

Nadpis Details
Součást Mobilní klient
SDL Phase Build
Použitelné technologie Generic
Attributes N/A
Odkazy Kryptografické obfuskace pro .NET
Kroky Vygenerované binární soubory (sestavení v souboru apk) by měly být obfuskovány, aby se zastavila zpětná analýza sestavení. K tomuto účelu se dají použít nástroje jako CryptoObfuscator.

Nastavení clientCredentialType na certifikát nebo Windows

Nadpis Details
Součást WCF
SDL Phase Build
Použitelné technologie .NET Framework 3
Attributes N/A
Odkazy Fortify
Kroky Použití uživatelského tokenu s heslem v prostém textu přes nešifrovaný kanál vystavuje heslo útočníkům, kteří mohou odchytit zprávy SOAP. Poskytovatelé služeb, kteří používají uživatelské jménoToken, můžou přijímat hesla odeslaná ve formátu prostého textu. Odesílání hesel ve formátu prostého textu přes nešifrovaný kanál může vystavit přihlašovací údaje útočníkům, kteří můžou zprávu SOAP šifrovat.

Příklad

Následující konfigurace zprostředkovatele služeb WCF používá uživatelské jménoToken:

<security mode="Message">
<message clientCredentialType="UserName" />

Nastavte clientCredentialType na Certifikát nebo Windows.

Režim zabezpečení WCF není povolený.

Nadpis Details
Součást WCF
SDL Phase Build
Použitelné technologie Obecné, .NET Framework 3
Attributes Režim zabezpečení – Přenos, Režim zabezpečení – Zpráva
Odkazy MSDN, Fortify Kingdom, Fundamentals of WCF Security CoDe Magazine
Kroky Nebylo definováno žádné zabezpečení přenosu nebo zpráv. Aplikace, které přenášejí zprávy bez přenosu nebo zabezpečení zpráv, nemůžou zaručit integritu ani důvěrnost zpráv. Pokud je vazba zabezpečení WCF nastavena na Žádné, přenos i zabezpečení zpráv jsou zakázány.

Příklad

Následující konfigurace nastaví režim zabezpečení na Žádné.

<system.serviceModel>
  <bindings>
    <wsHttpBinding>
      <binding name=""MyBinding"">
        <security mode=""None""/>
      </binding>
  </bindings>
</system.serviceModel>

Příklad

Režim zabezpečení ve všech vazbách služby existuje pět možných režimů zabezpečení:

  • Žádný. Vypne zabezpečení.
  • Přeprava. Používá zabezpečení přenosu pro vzájemné ověřování a ochranu zpráv.
  • Zpráva. Používá zabezpečení zpráv pro vzájemné ověřování a ochranu zpráv.
  • Both. Umožňuje zadat nastavení pro přenos a zabezpečení na úrovni zpráv (to podporuje pouze MSMQ).
  • TransportWithMessageCredential. Přihlašovací údaje se předávají spolu se zprávou a ochrana zpráv a ověřování serveru jsou zajišťovány přenosovou vrstvou.
  • TransportCredentialOnly. Přihlašovací údaje klienta se předávají s přenosovou vrstvou a nepoužije se žádná ochrana zpráv. Zabezpečení přenosu a zpráv slouží k ochraně integrity a důvěrnosti zpráv. The configuration below tells the service to use transport security with message credentials. 
    <system.serviceModel>
<bindings>
  <wsHttpBinding>
  <binding name=""MyBinding"">
  <security mode=""TransportWithMessageCredential""/>
  <message clientCredentialType=""Windows""/>
  </binding>
</bindings>
</system.serviceModel>
  • Last updated on