Skip to content

Drucksache: Windows Developer 3.18 - Sicherheitskonzepte in der WCF

Im Windows Developer 3.18 ist ein Artikel über die Sicherheitskonzepte in der WCF erschienen.

Die Windows Communication Foundation (WCF, früher "Indigo") ist Microsofts Kommunikationsplattform für verteilte Anwendungen. Sie stellt die Kommunikationstechnologien DCOM, Enterprise Services, MSMQ, Web-Services und WSE standardisiert unter einer einheitlichen Programmierschnittstelle zur Verfügung. Seit dem .NET-Framework 3.0 ist WCF fester Bestandteil des Frameworks.

Die vorhandenen Bindings decken die meisten Anwendungsfälle ab. Gibt es kein passendes Binding, kann problemlos eines erzeugt werden. Egal ob symmetrische oder asymmetrische Verschlüsselung, ob ohne Authentifizierung oder mit, ob über Benutzername&Passwort, X.509-Zertifikat, Kerberos, ..., jede Kombination ist möglich, und das sollte dann ja wohl fast jeden Anwendungsfall abdecken.

Fast, da es einige wenige Einschränkungen gibt. Die betreffen zum Teil aber veraltete System- und Framework-Versionen, so dass sie für aktuelle Entwicklungen nicht mehr relevant sind. Oder unterstützen Sie z.B. noch die Windows XP Home Edition?

Etwas Vorsicht ist wie immer im Bereich Kryptographie geboten. Sie erinnern sich vielleicht: Manche Algorithmen und/oder Schlüssellängen sind nicht mehr sicher und sollten vermieden werden. Darauf müssen Sie selbst achten, denn aus Kompatibilitätsgründen stehen immer auch unsichere Algorithmen und Schlüssellängen zur Verfügung.

Nicht nur in der WCF, sondern allgemein. Im Notfall ist eine unsichere Verbindung oft immer noch besser als gar keine Verbindung, daher hat die Unterstützung solcher tatsächlich oder potentiell unsicherer Möglichkeiten durchaus ihre Berechtigung. Nur müssen Sie darauf achten, dass diese Notlösung nicht zum Normalfall wird. Oder ein Angreifer ihren Einsatz provozieren und danach die Verschlüsselung brechen kann. Also einfach dran denken: Nur, weil ein Algorithmus oder eine Schlüssellänge von der WCF unterstützt wird, heißt das noch lange nicht, dass sie sicher ist.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Drucksache | 0 Kommentare

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!