Token a conoscenza del tempo sulla sicurezza WS (WSSE)

0

Sto creando un server SOAP con WSSE. Come suggeriscono le specifiche ( link ), il mio cliente deve passare un token (nonce) a conoscenza del tempo che convalida che la richiesta è in tempo per evitare attacchi di riproduzione. Ma la mia preoccupazione principale riguarda il tempo su entrambe le macchine (client e server) che non è necessario lo stesso e potrebbe dare dei falsi positivi quando il client invia il suo tempo di creazione. Come posso gestire il timestamp per consentire una finestra valida di ad esempio 5 minuti?

Per fare un esempio:

  • Il mio cliente ha la data: 2017/07/04 11:55:22 quando crea la richiesta.
  • Il mio server quando riceve (pochi secondi dopo la richiesta) ha la data: 2017/07/04 12:00:32

Quindi, come puoi vedere il token è già scaduto perché non c'è sincronizzazione tra le due date.

Che cosa posso fare? Qualche suggerimento?

Grazie in anticipo.

    
posta azuax 04.07.2017 - 21:08
fonte

0 risposte

Leggi altre domande sui tag