我有一个WPF应用程序,我打算分发。该应用程序使用带有Forms Auth的WCF DataService。托管WCF DataService的网站使用SSL,我相信它在WCF端和客户端都已正确启用。但是没有消息级安全性。
然而,当我在我的开发机器上加载Fiddler进行测试时,我可以看到用户名和密码。它应该对fiddler可见,从而表明我的SSL传输设置不正确吗?或者说Fiddle在中间,运行我的应用程序的任何人都可以使用它来查看用户名/密码?
我已经研究过WCF提供的基于传输和消息的安全性,我不清楚如何防止用户名和密码被发现。
事实上,保护WCF客户端(Forms Auth)使用的用户名和密码是否可以被像Fiddler这样的本地运行应用程序发现?
是否有一些其他WCF配置的传输和消息,或认证可以保护WPF客户端不会发现它的用户名/密码?
对此提出的建议非常受欢迎。