我担心我正在编写的 Silverlight 应用程序中的 MITM 攻击。该站点将通过 SSL 运行。如果我的网站是 MITM 攻击的受害者,据我所知,我现在唯一的防御措施是当网站的证书不受信任时浏览器显示的警告页面。由于它只是一个浏览器,它所能做的最好的事情就是警告用户,然后让他们通过。用户可以点击快乐,并且倾向于不阅读内容。因此,他们很可能会阅读此警告,挠头,然后继续访问该站点。我的想法是,由于我正在编写一个健壮的 Silverlight 应用程序,我应该能够检测浏览器是否看到证书错误,或者执行与浏览器相同的验证。然后如果我确定有问题,我可以简单地锁定我的整个应用程序,这样用户就不会向 MITM 公开任何关键信息。我遇到的问题是,我似乎无法在 Silverlight 的有限 .NET 子集中找到正确的类来完成我需要做的事情。有谁知道我可以如何实现这个目标,或者解决这个问题的不同方式?
问问题
1021 次
2 回答
0
据我所知,这是不可能的——Silverlight 使用浏览器的网络堆栈,因此依赖于其网络警告和安全基础设施。
Silverlight 3 添加了一个新的网络堆栈,但我相信一般情况下同样适用:当浏览器下载 .xap(Silverlight 应用程序)时验证主机服务器的证书,而不是您可以在代码中检查或与之交互的东西。
于 2009-08-17T19:53:52.563 回答
0
恕我直言,您可以检查本地存储的证书,因为浏览器会在 SSL 请求后保存它的副本。看看这篇文章。我希望它会给你一些提示
于 2009-08-17T19:59:21.867 回答