Điểm:0

Cơ sở hạ tầng xác thực API dựa trên SOAP

lá cờ in

Tôi đã tham gia vào một cuộc thảo luận vào ngày hôm trước về việc triển khai xác thực backend-to-backend. Các thông tin liên lạc giữa mỗi phụ trợ xảy ra thông qua Giao thức thông báo SOAP (XML).

Khách quan:

Xác thực các cuộc gọi bắt nguồn từ Phần cuối A <> Phần cuối B. Tất cả các giao tiếp có thể được coi là đi qua đường hầm TLS trước

Giải pháp đề xuất của họ:

nối một Chữ ký trong Tiêu đề XML được tính toán chỉ sử dụng một số phần nhất định của nội dung yêu cầu và dấu thời gian, được mã hóa bằng AES-ECB

Các bí mật được chia sẻ trong một kênh bên ngoài và được duy trì ở mỗi đầu.

Mối quan tâm của tôi/giải pháp riêng:

Theo quan điểm của tôi, vấn đề này đòi hỏi một loại MAC xác thực sẽ đảm bảo tính toàn vẹn và tính xác thực của thông báo.

Thay vào đó, tôi khuyên họ nên sử dụng HMAC-SHA256, với dấu thời gian không có dấu thời gian để ngăn chặn các cuộc tấn công phát lại và chuyển nó theo cách tùy chỉnh Tiêu đề XML sẽ được xác nhận bởi mỗi phụ trợ.

Tôi không hiểu nhu cầu sử dụng mã hóa ở đây, đặc biệt là khi họ không mã hóa nội dung yêu cầu (bảo mật). Tuy nhiên, tôi không thực sự có đủ lý lẽ mạnh mẽ để tại sao giải pháp của họ là không an toàn/không phù hợp

Lưu ý: Tôi cho rằng chế độ mã hóa ECB cũng có thể gặp sự cố tiên tri và nói chung CBC sẽ được ưu tiên hơn chế độ này?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.