我创建了Silverlight登录页面。我在该页面中使用PasswordBox并使用this solution在我的应用程序中执行MVVM。在我阅读this answer之后BTW,我意识到当前的解决方案并不安全。
我想知道如何在我的解决方案中提高安全性,即使它会破坏MVVM。
答案 0 :(得分:1)
您应该通过HTTPS发送密码。会话ID也应始终通过HTTPS传输,否则您将违反OWASP A9 - Insufficient Transport Layer Protection。
答案 1 :(得分:-1)
我总是在他们正在运行的网站的上下文中考虑我的Silverlight应用程序。因此,如果用户登录网站,我不希望他们在访问从网站运行的Silverlight应用程序时再次登录。
因此,我的Silverlight应用程序中没有登录屏幕。包含Silverlight应用程序的文件夹重定向回ASP.Net登录页面,用户在进入Silverlight应用程序之前登录该页面。完成后,Silverlight应用程序可以通过向服务器发出请求来获取用户的详细信息。