Ho un servizio web e un'applicazione che si connette ad esso. Non espongo il servizio web tramite qualsiasi protocollo di scoperta verso il mondo esterno. Ho due meccanismi di sicurezza:
- Il mio software utilizza SSL e crittografa tutti i messaggi utilizzando un meccanismo di chiave pubblica / privata.
- Uso l'autenticazione nome utente / password di integrazione WCF WIF, quindi la mia applicazione ha un nome utente e una password univoci che gli consentono di accedere al servizio web.
Ora, se l'utente installa uno sniffer come Fiddler sulla sua macchina e installa il certificato speciale che consente al violinista di fiutare il traffico https:
- Consentirà di analizzare la struttura dei miei metodi di servizio web?
- L'utente sarà in grado di decodificare il nome utente e la password della mia applicazione e accedere al mio servizio web?
- L'utente sarà quindi in grado di creare i propri messaggi (REST / SOAP) e interagire con il mio servizio web?