Ecco lo scenario ...
Ho un sito web che ha un gestore generico scritto in asp.net (file .ashx) che accetta richieste HTTP, ottiene dati rilevanti, converte il risultato in xml e poi lo restituisce tramite la risposta.
Questo verrà eventualmente utilizzato in modo che un'applicazione Windows possa effettuare richieste di dati a questo sito Web.
La mia preoccupazione è che chiunque sappia come mettere insieme la richiesta possa accedere ai dati potenzialmente personali. I dati non sono qualcosa di così delicato come le informazioni finanziarie, ma avranno nomi e indirizzi, quindi ho ovviamente bisogno di pensare a metterlo al sicuro.
Il mio pensiero iniziale era quello di crittografare le informazioni prima di rispondere, e forse anche di crittografare la richiesta, e sono felice di farlo, ma volevo solo chiedere ad altri boffin la loro opinione in merito.
È qualcosa che ha un modo "standard" di farlo, o è semplicemente il caso di pensare a qualcosa di adatto e di implementarlo.
Per inciso, l'app di Windows sarà distribuita in tutto il paese, quindi le richieste arriveranno da molti posti. L'uso dell'indirizzo IP non è solo un modo laborioso di farlo, ma non aiuta in quanto potresti ovviamente inviare il messaggio da un IP senza usare l'applicazione.
TL; DR
Come faccio a verificare che fosse la mia app per Windows a chiedere informazioni sulla mia app Web?