RpcServerRegisterAuthInfo tidak menolak pengguna yang tidak sah
Ketika penyedia keamanan terdaftar di server dengan fungsi RpcServerRegisterAuthInfo , opsi autentikasi ditambahkan; bukan persyaratan autentikasi. Itu berarti bahwa pendaftaran sebelumnya dengan RpcServerRegisterAuthInfo tidak diganti. Ini juga berarti bahwa klien yang tidak terauthentikasi yang dapat terhubung sebelumnya masih dapat terhubung.
Hanya memanggil fungsi RpcServerRegisterAuthInfo tidak melarang klien yang tidak dialokasikan untuk terhubung. Jika mereka dapat terhubung sebelumnya, maka mereka masih dapat terhubung; tetapi panggilan fungsi seperti RpcImpersonateClient dan RpcGetAuthorizationContextForClient akan gagal. Jadi ketika fungsi RpcServerRegisterAuthInfo dipanggil, penyerang potensial belum disiangi—melainkan, klien yang berwenang diberi kesempatan untuk membuktikan identitas mereka. Jadi Anda masih harus melakukan pemeriksaan untuk menentukan apakah calon penyerang mencoba terhubung.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk