Torna indietro   Hardware Upgrade Forum > Software > Programmazione

Shadow of the Tomb Raider: ecco come nasce la 'vera' Lara Croft
Shadow of the Tomb Raider: ecco come nasce la 'vera' Lara Croft
Shadow of the Tomb Raider completa la trilogia sulla genesi della Lara Croft per come oggi la conosciamo. Iniziata nel 2013 con il gioco di Crystal Dynamics che riscriveva dalle fondamenta il personaggio di Lara Croft, è proseguita con Rise of the Tomb Raider tre anni fa e adesso è il momento della conclusione
Cosmos C700M è il miglior case di Cooler Master. Ma che prezzo!
Cosmos C700M è il miglior case di Cooler Master. Ma che prezzo!
Cooler Master Cosmos C700M è il case top di gamma del produttore taiwanese, capace di implementare le soluzioni più all'avanguardia del momento all'interno del mercato consumer. Non mancano: vetro temperato (curvo), alluminio, tray della scheda madre rimovibile, e grandissime capacità di personalizzazione. Il nuovo Cosmos è un case per utenti enthusiast, ma anche il prezzo è sicuramente premium
Serve il patentino per guidare i droni? Facciamo un po' di chiarezza
Serve il patentino per guidare i droni? Facciamo un po' di chiarezza
È la domanda che tutti si fanno: 'Serve il patentino per far volare un drone?' In questo articolo analizziamo la differenza tra 'SAPR' (Sistemi Aeromobili a Pilotaggio Remoto) e gli Aeromodelli. I primi richiedono il patentino e molti dei più diffusi droni e multicotteri rientrano proprio in questa categoria
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 15-05-2018, 07:30   #1
race2
Senior Member
 
Iscritto dal: Aug 2000
Messaggi: 1196
[C#] Sicurezza nelle comunicazioni Client/Server - SOAP o RESTFull API

Salve,
devo sviluppare un progetto Client/Server in C#, vi spiego:

Diciamo che ho 500 PC-Client i quali devono inviare e ricevere piccole comunicazioni al Server, pochi byte a comunicazione.

Nei Client gira Windows 10 IoT Enterprise, Il software è un applicazione Win Form in C#, per l'interfaccia grafica.

La connessione dei Client è fatta con una normalissima ADSL - (IP Dinamico).

Il Server è in PC ospitato in Housing(Aruba) dove gira Windows.

In queste comunicazioni il Client invia al Server anche dati di carte di credito, dove nel Server si effettuano le transazioni bancarie tramite le API del sistema di pagamento.

Il punto è:
- serve una connessione sicura
- serve una comunicazione cifrata
- serve identificare la comunicazione per sapere se ha il permesso di entrare.

Inizialmente per soddisfare quei punti avevo pensato ad un Web Service SOAP.
Poi mi sono documentato sulle API RESTFull

Ora non sono deciso su come procedere.

Cosa ne pensate?
race2 è offline   Rispondi citando il messaggio o parte di esso
Old 15-05-2018, 11:14   #2
pabloski
Senior Member
 
Iscritto dal: Jan 2008
Messaggi: 6878
REST o SOAP, il punto è che quella roba dev'essere cifrata e dev'esserci un meccanismo per la verifica delle identità.

Per l'identificazione si può usare la crittografia a chiave asimmetrica, cioè usarla durante la prima connessione della sessione, per poi assegnare una chiave simmetrica ai client.

Quello che avviene con https in pratica.
pabloski è offline   Rispondi citando il messaggio o parte di esso
Old 15-05-2018, 11:36   #3
!fazz
Moderatore
 
L'Avatar di !fazz
 
Iscritto dal: Nov 2006
Messaggi: 18180
Quote:
Originariamente inviato da pabloski Guarda i messaggi
REST o SOAP, il punto è che quella roba dev'essere cifrata e dev'esserci un meccanismo per la verifica delle identità.

Per l'identificazione si può usare la crittografia a chiave asimmetrica, cioè usarla durante la prima connessione della sessione, per poi assegnare una chiave simmetrica ai client.

Quello che avviene con https in pratica.
+1
imho la soluzione migliore è fare delle web api su protocollo https così per la sicurezza ti affidi a tls
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX)
Desktop (three hundred,tx650w,940be+freezer xtreme,ga-ma790x-ud4,2x2GB ddr2 800c4 DHX, 7870 WD500AAKS WD250AAKS WD1500HLFS Audigy 2)+NB: m4800,Tablet Venue11 + FZ-M1+Other...
!fazz è offline   Rispondi citando il messaggio o parte di esso
Old 15-05-2018, 11:48   #4
race2
Senior Member
 
Iscritto dal: Aug 2000
Messaggi: 1196
Quote:
Originariamente inviato da pabloski Guarda i messaggi
REST o SOAP, il punto è che quella roba dev'essere cifrata e dev'esserci un meccanismo per la verifica delle identità.

Per l'identificazione si può usare la crittografia a chiave asimmetrica, cioè usarla durante la prima connessione della sessione, per poi assegnare una chiave simmetrica ai client.

Quello che avviene con https in pratica.
L'identità la faccio con il certificato del server, ma credo che come dici tu è più univoca, in caso di furto del Client anno pure il certificato per entrare...
race2 è offline   Rispondi citando il messaggio o parte di esso
Old 15-05-2018, 11:50   #5
race2
Senior Member
 
Iscritto dal: Aug 2000
Messaggi: 1196
Quote:
Originariamente inviato da !fazz Guarda i messaggi
+1
imho la soluzione migliore è fare delle web api su protocollo https così per la sicurezza ti affidi a tls
E' sufficiente comunicare su https ?

Dato che invio anche dati di carte di credito, non è meglio SOAP cosi cifro i dati inviati?
race2 è offline   Rispondi citando il messaggio o parte di esso
Old 15-05-2018, 11:52   #6
race2
Senior Member
 
Iscritto dal: Aug 2000
Messaggi: 1196
Il problema è questo, se riesco a capire che SOAP per la mia applicazione non è troppo pesante, vado con quello.

Come posso capire se è eccessivamente "Pesante" o "Lento", che calcoli devo fare?
Per lento si intende che risponde dopo 5 secondi.... o altro??
Per pesante si intende su una linea ADSL da 2Mb con 5 chiamate ogni 10 minuti..., o altro??

Ultima modifica di race2 : 15-05-2018 alle 11:54.
race2 è offline   Rispondi citando il messaggio o parte di esso
Old 15-05-2018, 12:10   #7
!fazz
Moderatore
 
L'Avatar di !fazz
 
Iscritto dal: Nov 2006
Messaggi: 18180
Quote:
Originariamente inviato da race2 Guarda i messaggi
E' sufficiente comunicare su https ?

Dato che invio anche dati di carte di credito, non è meglio SOAP cosi cifro i dati inviati?
rest o soap non è che cambi un gran che lato dati puoi inviare dati cifrati anche su https facendo una cifratura a due livelli


https ti garantisce che la connessione avviene su un canale sicuro (scambio di chiavi simmetriche mediante protocollo asimmetrico ) poi i dati che mandi li gestisci come vuoi

es mando un json contenente i dati cifrati secondo un algoritmo simmetrico con chiave univoca per il client
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX)
Desktop (three hundred,tx650w,940be+freezer xtreme,ga-ma790x-ud4,2x2GB ddr2 800c4 DHX, 7870 WD500AAKS WD250AAKS WD1500HLFS Audigy 2)+NB: m4800,Tablet Venue11 + FZ-M1+Other...
!fazz è offline   Rispondi citando il messaggio o parte di esso
Old 15-05-2018, 12:29   #8
race2
Senior Member
 
Iscritto dal: Aug 2000
Messaggi: 1196
Quote:
Originariamente inviato da !fazz Guarda i messaggi
rest o soap non è che cambi un gran che lato dati puoi inviare dati cifrati anche su https facendo una cifratura a due livelli


https ti garantisce che la connessione avviene su un canale sicuro (scambio di chiavi simmetriche mediante protocollo asimmetrico ) poi i dati che mandi li gestisci come vuoi

es mando un json contenente i dati cifrati secondo un algoritmo simmetrico con chiave univoca per il client
OK, chiarissimo, quindi tu sei più d'accordo a sviluppare il tutto con RESTFull API ?
race2 è offline   Rispondi citando il messaggio o parte di esso
Old 15-05-2018, 13:31   #9
!fazz
Moderatore
 
L'Avatar di !fazz
 
Iscritto dal: Nov 2006
Messaggi: 18180
Quote:
Originariamente inviato da race2 Guarda i messaggi
OK, chiarissimo, quindi tu sei più d'accordo a sviluppare il tutto con RESTFull API ?
non è che sono d'accordo, non vedo particolari problemi lato sicurezza ad usare sia l'una che l'altra tecnologia.

la scelta del protocollo è più una questione architetturale e diventa difficile scegliere senza avere tutti gli elementi
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX)
Desktop (three hundred,tx650w,940be+freezer xtreme,ga-ma790x-ud4,2x2GB ddr2 800c4 DHX, 7870 WD500AAKS WD250AAKS WD1500HLFS Audigy 2)+NB: m4800,Tablet Venue11 + FZ-M1+Other...
!fazz è offline   Rispondi citando il messaggio o parte di esso
Old 15-05-2018, 16:24   #10
race2
Senior Member
 
Iscritto dal: Aug 2000
Messaggi: 1196
Quote:
Originariamente inviato da !fazz Guarda i messaggi
non è che sono d'accordo, non vedo particolari problemi lato sicurezza ad usare sia l'una che l'altra tecnologia.

la scelta del protocollo è più una questione architetturale e diventa difficile scegliere senza avere tutti gli elementi
Ti chiedo solo un ultima cosa e poi chiudo,

Diciamo che REST inviando pochissimi byte ha la medesima velocità di una chiamata ad una pagina web,

Come posso capire quanta è la lentezza di SOAP??

Tutti dicono che è molto lento e inoltre ci vuole pure una banda adeguata...
Ma come è possibile che una ADSL da 1Mb non soddisfi la portata delle chiamate anche se sono 10 al secondo ??

Mi sta bene la lentezza di risposta che è dovuta all'elaborazione nel server, ma la banda adeguata!!!
race2 è offline   Rispondi citando il messaggio o parte di esso
Old 16-05-2018, 10:21   #11
!fazz
Moderatore
 
L'Avatar di !fazz
 
Iscritto dal: Nov 2006
Messaggi: 18180
Quote:
Originariamente inviato da race2 Guarda i messaggi
Ti chiedo solo un ultima cosa e poi chiudo,

Diciamo che REST inviando pochissimi byte ha la medesima velocità di una chiamata ad una pagina web,

Come posso capire quanta è la lentezza di SOAP??

Tutti dicono che è molto lento e inoltre ci vuole pure una banda adeguata...
Ma come è possibile che una ADSL da 1Mb non soddisfi la portata delle chiamate anche se sono 10 al secondo ??

Mi sta bene la lentezza di risposta che è dovuta all'elaborazione nel server, ma la banda adeguata!!!
diciamo che rest e pochissimi byte non stanno bene nella stessa frase senza una negazione in mezzo

le api rest fanno chiamate http quindi il protocollo è abbastanza pesante e soap è abbastanza similare (protocollo testuale anche in soap json vs xml ma siamo li )

i protocolli leggeri sono altri ad esempio per iot si usa tanto mqtt
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX)
Desktop (three hundred,tx650w,940be+freezer xtreme,ga-ma790x-ud4,2x2GB ddr2 800c4 DHX, 7870 WD500AAKS WD250AAKS WD1500HLFS Audigy 2)+NB: m4800,Tablet Venue11 + FZ-M1+Other...
!fazz è offline   Rispondi citando il messaggio o parte di esso
Old 16-05-2018, 13:35   #12
race2
Senior Member
 
Iscritto dal: Aug 2000
Messaggi: 1196
Quote:
Originariamente inviato da !fazz Guarda i messaggi
rest o soap non è che cambi un gran che lato dati puoi inviare dati cifrati anche su https facendo una cifratura a due livelli


https ti garantisce che la connessione avviene su un canale sicuro (scambio di chiavi simmetriche mediante protocollo asimmetrico ) poi i dati che mandi li gestisci come vuoi

es mando un json contenente i dati cifrati secondo un algoritmo simmetrico con chiave univoca per il client
Riprendo la tua risposta precedente e la lego all'ultima.

Se REST e SOPA diciamo che siamo li....., perchè non fare come mi hai detto qui nella QUOTE, niente SOAP e niente REST, un semplice invio di dati json cifrati e lato Server uno script che "accoglie, elabora e risponde" ai i dati inviati.

I miei invii sono roba tipo cosi:

"id=4d34g234hj&im=200&ty=50&q=42ui23i4234y3yujhjh565mm5n"

Tutto qui, ogni chiamata al server invio massimo questa roba, altrimenti anche la metà.
race2 è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2018, 13:38   #13
race2
Senior Member
 
Iscritto dal: Aug 2000
Messaggi: 1196
Io in passato ho utilizzato i servizi ASMX, Client può gestire il servizio come semplici chiamate ai metodi delle classi.

Ho letto che è diventato obsoleto, è vero?
race2 è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2018, 14:15   #14
pabloski
Senior Member
 
Iscritto dal: Jan 2008
Messaggi: 6878
Quote:
Originariamente inviato da race2 Guarda i messaggi
I miei invii sono roba tipo cosi:

"id=4d34g234hj&im=200&ty=50&q=42ui23i4234y3yujhjh565mm5n"

Tutto qui, ogni chiamata al server invio massimo questa roba, altrimenti anche la metà.
Praticamente ti basta il POST del HTTP/HTTPS. Si potrebbe usare il GET, ma è preferibile il POST in un contesto cifrato, in quanto riduce a zero i possibili leak e consente ( in ogni caso ) maggiore flessibilità nel numero e dimensione dei dati.
pabloski è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2018, 14:42   #15
race2
Senior Member
 
Iscritto dal: Aug 2000
Messaggi: 1196
Quote:
Originariamente inviato da pabloski Guarda i messaggi
Praticamente ti basta il POST del HTTP/HTTPS. Si potrebbe usare il GET, ma è preferibile il POST in un contesto cifrato, in quanto riduce a zero i possibili leak e consente ( in ogni caso ) maggiore flessibilità nel numero e dimensione dei dati.
Scusa le domande magari scontate per te ma sono a digiuno di questi argomenti.

1) Quale è la differenza tra creare una comunicazione Client/Server con api oppure con https+POST con stringa cifrata?

2) Quindi come ha detto fazz sopra:scambio di chiavi simmetriche mediante protocollo asimmetrico

3) tu che ne pensi dei web services asmx, sono obsoleti? Quale è il tuo commeto a riguardo?
race2 è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2018, 15:41   #16
pabloski
Senior Member
 
Iscritto dal: Jan 2008
Messaggi: 6878
Quote:
Originariamente inviato da race2 Guarda i messaggi
1) Quale è la differenza tra creare una comunicazione Client/Server con api oppure con https+POST con stringa cifrata?
Standard. HTTP è uno standard e quindi interoperabile con altri software, qualora dovesse essercene la necessità.

L'uso di HTTP per quel tipo di servizi va sotto l'acronimo REST ( o RESTful ).

E considera che avrai a disposizione gazillioni di librerie e strumenti che implementano lo standard.

Quote:
Originariamente inviato da race2 Guarda i messaggi
2) Quindi come ha detto fazz sopra:scambio di chiavi simmetriche mediante protocollo asimmetrico
Esatto, ed è parte dell'handshake di HTTPS. Cioè HTTPS fa così.

Quote:
Originariamente inviato da race2 Guarda i messaggi
3) tu che ne pensi dei web services asmx, sono obsoleti? Quale è il tuo commeto a riguardo?
Humm obsoleti non direi. Mi pare si usino ancora oggi. Che poi MS abbia implementato WCF come successore di ASMX è vero. Ed è vero che WCF è più flessibile, infatti sfrutta altri protocolli oltre a HTTP. Ma non vedo che differenza possa fare nel tuo caso.
pabloski è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2018, 16:10   #17
race2
Senior Member
 
Iscritto dal: Aug 2000
Messaggi: 1196
Quote:
Originariamente inviato da pabloski Guarda i messaggi
Ma non vedo che differenza possa fare nel tuo caso.
Solo di praticità,
non so se hai mai utilizzato ASMX,
nel Client dopo la dichiarazione della nuova istanza del servizio, gesti tutti i suoi metodi pubblici come se tu avessi le classi nella soluzione del tuo Client, chiami i metodi, passi i parametri, etc...

è un po come estendere e/o implementare il Client con classi/metodi del client stesso, in realtà utilizzi quelle del web service.

Ho detto che non chiedevo più nulla ma questa è veramente l'ultima:

Ma se il web service fosse sviluppato in PHP sarebbe in grado di gestirlo un Client RESTFull in C# ?
race2 è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2018, 17:05   #18
!fazz
Moderatore
 
L'Avatar di !fazz
 
Iscritto dal: Nov 2006
Messaggi: 18180
Quote:
Originariamente inviato da race2 Guarda i messaggi
Solo di praticità,
non so se hai mai utilizzato ASMX,
nel Client dopo la dichiarazione della nuova istanza del servizio, gesti tutti i suoi metodi pubblici come se tu avessi le classi nella soluzione del tuo Client, chiami i metodi, passi i parametri, etc...

è un po come estendere e/o implementare il Client con classi/metodi del client stesso, in realtà utilizzi quelle del web service.

Ho detto che non chiedevo più nulla ma questa è veramente l'ultima:

Ma se il web service fosse sviluppato in PHP sarebbe in grado di gestirlo un Client RESTFull in C# ?
ovviamente si client e server sono due sistemi completamente isolati e puoi farli come ti pare (pensa che io ho fatto una volta ho dovuto fare un client rest su microcontrollore scrivendo manualmente tutto il protocollo)

secondo me se già conosci c# il web server ti conviene farlo con un progetto web api direttamente in c# se vedi gli esempi è di una banalità assurda e hai un linguaggio nettamente più potente di php e con la possibilità di fare debug e passo passo della parte server
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX)
Desktop (three hundred,tx650w,940be+freezer xtreme,ga-ma790x-ud4,2x2GB ddr2 800c4 DHX, 7870 WD500AAKS WD250AAKS WD1500HLFS Audigy 2)+NB: m4800,Tablet Venue11 + FZ-M1+Other...
!fazz è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2018, 17:09   #19
pabloski
Senior Member
 
Iscritto dal: Jan 2008
Messaggi: 6878
Quote:
Originariamente inviato da race2 Guarda i messaggi
Ma se il web service fosse sviluppato in PHP sarebbe in grado di gestirlo un Client RESTFull in C# ?
Visto che uno degli scopi è proprio disaccoppiare server e client, direi di si. Parliamo di RESTful ovviamente. Non so se ASMX faccia cose strane e non standard.

Che poi alla fin fine REST usa gli URI e i metodi del HTTP. In PHP tu hai $_SERVER['REQUEST_METHOD'] per sapere che metodo è stato invocato e $_SERVER['PATH_INFO'] per catturare l'URI.
pabloski è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2018, 17:19   #20
race2
Senior Member
 
Iscritto dal: Aug 2000
Messaggi: 1196
Quote:
Originariamente inviato da !fazz Guarda i messaggi
ovviamente si client e server sono due sistemi completamente isolati e puoi farli come ti pare (pensa che io ho fatto una volta ho dovuto fare un client rest su microcontrollore scrivendo manualmente tutto il protocollo)

secondo me se già conosci c# il web server ti conviene farlo con un progetto web api direttamente in c# se vedi gli esempi è di una banalità assurda e hai un linguaggio nettamente più potente di php e con la possibilità di fare debug e passo passo della parte server
Anche a me piace molto di più C#, oggi mi hanno confermato che le API per l'acquisto dei bitcoin dall'Exchange me le danno sviluppate in PHP, ancora non ho la documentazione ma credo di avere capito da terze persone che non hanno API REST ma è un Client API come coinbase:
https://developers.coinbase.com/docs...bitcoin-wallet

Apepna ho la documentazione vedrò come procedere.
race2 è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Shadow of the Tomb Raider: ecco come nasce la 'vera' Lara Croft Shadow of the Tomb Raider: ecco come nasce la 'v...
Cosmos C700M è il miglior case di Cooler Master. Ma che prezzo! Cosmos C700M è il miglior case di Cooler ...
Serve il patentino per guidare i droni? Facciamo un po' di chiarezza Serve il patentino per guidare i droni? Facciamo...
Ford Focus e le nuove tecnologie di assistenza alla guida Ford Focus e le nuove tecnologie di assistenza a...
Honor Play: lo smartphone creato per il 'gaming' ma anche per tutto il resto. La recensione Honor Play: lo smartphone creato per il 'gaming'...
Apple acquisisce Asaii per scovare nuovi...
iPhone XR, la custodia Apple in silicone...
Feiyu G6, gimbal per action cam di quali...
Adobe MAX, ecco le novità delle A...
Sony Venice: in arrivo Extension System ...
Oppo R19: addio al notch, ecco come potr...
Solo 5€ al mese per 50GB e chiamate illi...
Il robot Atlas di Boston Dynamics ora fa...
Wondershare DVD Creator, un tool unico p...
PS4: attenzione, un messaggio può blocca...
Facebook, 30 milioni gli account violati...
Tesla raggiunge quota 100.000 Model 3 ve...
E' Lenovo il primo produttore di PC anch...
Le offerte del giorno Amazon: tra altopa...
Powerbank Duracell, stile iconico del ma...
Iperius Backup
Internet Download Accelerator
Chromium
Process Lasso
Skype
Windows 7 Codec Pack
GPU-Z
Zoom Player Free
K-Lite Codec Pack Update
K-Lite Mega Codec Pack
K-Lite Codec Pack Full
K-Lite Codec Pack Standard
Radeon Software Adrenaline Edition 18.
Driver NVIDIA GeForce 416.34 WHQL
K-Lite Codec Pack Basic
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 15:59.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Served by www2v