Hallo an alle,
ich brauche mal wieder einen Denkansatz:
Folgende Aufgabe vom Chef:
Es soll zur Remoteadministration eines Email-Informationssystems ein Webservice programmiert werden. Natürlich mit der entsprechenden Software, die auf den Webservice zugreift.
Natürlich soll die Kommunikation zwischen Software und Webservice über das Internet so gut wie möglich verschlüsselt werden.
Die Verschlüsselung an sich ist nicht das Problem, aber wie generiere ich am besten den Schlüssel?
Da sich jeder einzelne Benutzer der Remotesoftware mit eigenen Benutzer und Passwort an einer Datenbank anmelden muss (wegen Rückverfolgbarkeit von Änderungen kann kein allgemeiner Benutzer genutzt werden).
Wie übertrage ich am besten die genannten Logindaten von der Software zum Service ohne dass sie im Klartext mit einem Monitorprogramm leicht lesbar sind?
Ich hatte es mir bisher so gedacht:
Beim ersten Connect zum Webservice wird ein eindeutiger String übertragen (z.B. GUID ??). Dieser String wird dann von der Remotesoftware mit den Logininformationen kombiniert und an den Webservice zurückgeschickt. Sind die Logininformationen für die Datenbank korrekt, schickt der Webservice einen Schlüssel zurück, der bei allen weiteren Übertragungen von der Software zum Webservice und umgekehrt genutzt wird.
Was halten die Experten von dieser Vorgehensweise (bin selbst nur Auszubildender
)?
Gibt es andere Möglichkeiten der verschlüsselten Datenübertragung (SSL geht ja nur für Webseiten oder sehe ich das falsch?)
Hilfe für mein Gehirn (Denkanstöße
) werden gerne angenommen. Selbstverständlich stehe ich für Rückfragen oder Verständnisprobleme meines Problems gerne zur Verfügung.
MfG Rene
MD5