Здравствуйте.
Речь идёт о десктопном приложении.
Какими стандартными способами можно обеспечить целостность пары клиент-сервер, таким образом, чтобы к серверу могли подключаться только определённые клиенты, а не любое приложение знающее его месторасположение и интерфейс?
Делается это для затруднения взламывания злоумышленниками ИС. Злоумышленники умеют дизассемблировать приложения и умеют пользоваться редакторами памяти.

VSVLAD,

Я думаю над неким третьим приложением, которое перед запуском "настоящего" клиента будет генерировать некоторый код и передавать его на сервер и на клиент. Таким образом обеспечивается уникальность кода при каждом запуске, а сервер уже будет проверять соответствие кода и следить за тем, что кодом можно воспользоваться в течении, скажем, минуты.

Яростный МечyoungrentЯ думаю над неким третьим приложением, которое ...его тоже дизассемблируют.
пока найдут что дизассемблировать...

Яростный МечВообще, сама задача непонятна. Обычно работу сервера прикрывают от людей, с помощью авторизации. А зачем от ПО скрывать?
авторизация тоже не даёт 100% защиты от взлома, возникла необходимость, гарантировать что к серверу обращается родной клиент, а не приложение написанное злоумышленником.

softwarer,
что же, теперь всех без разбора пускать?)

softwareryoungrentsoftwarer,
что же, теперь всех без разбора пускать?)
Именно. Всех без разбора, кто сумеет сам отпереть замок. А не полагаться на "свои" из-за двери.
"Свои" из-за двери это дополнительная предосторожность, мы потом ещё в глазок посмотрим, паспорт проверим, сетчатку отсканируем.

k0rvinyoungrentвозникла необходимость, гарантировать что к серверу обращается родной клиент, а не приложение написанное злоумышленником.

Я что-то не понимаю, чем это вообще поможет и от чего защитит. Ну подключилось стороннее приложение, дальше что? Или так: воспользовался злоумышленник родным клиентом, дальше что?
Был случай, когда злоумышленник, дизассемблировал родной клиент, кое-что подправил в параметрах регистрации, передаваемых на сервер, и как на зло, на сервере оказалась логическая ошибка в алгоритме регистрации, позволившая клиенту злоумышленника подключаться фактически без регистрации.
Я не считаю, что если получится обеспечить целостность пары клиент-сервер, то это защитит от всего, но было решено посмотреть, что можно сделать в данном направлении, вот и смотрю)

miksoftА нужно ли ограничивать список людей , которые могут подключаться?
он ограничивается авторизацией.

softwarerЕсть одна история, которую я иногда вспоминаю как полезную философскую притчу. Попросили меня однажды скопировать информацию из защищённой базы данных. База была зашифрована довольно сложной навесной защитой, расшифровывавшей информацию при считывании. Разбираться в её функционировании и повторять расшифровку в своём приложении - заняло бы недели, если не больше. Ту задачку я решил за час с небольшим. Расковыряв вышеназванную информацию, я написал небольшую программу, управлявшую стандартным клиентом - тот грузился, делал всю необходимую подготовку, дальше моя программа хватала управление, считывала данные - через стандартный интерфейс, расшифровывая их любезно предоставленной защитой, ну и записывала мимо "зашифровывающего" интерфейса. Всего и делов.
вот примерно то же и у нас может происходить сейчас)

softwareryoungrentвот примерно то же и у нас может происходить сейчас)
Примерно то же может происходить всегда. Любой инструмент защиты, который вы впечатаете в клиента - или в любую другую программу, размещённую на плохо контролируемом вами компьютере - послужит ключом в руках злоумышленника, рычагом, с помощью которого он вскроет вашу защиту. Надёжную защиту следует строить, исходя из твёрдой уверенности, что клиент уже скомпрометирован и находится под контролем взломщика, в противном случае останутся дырки, проистекающие из уверенности "ну клиент-то ведь наш".

Некоторую невысокую степень подобной защиты может дать электронная подпись файлов клиента, если среда выполнения её проверяет. Вроде бы что-то такое было в .net. Но это всего лишь значит, что злоумышленнику нужно не полениться вскрыть и отключить такую проверку.
Абсолютно с вами согласен. Учитывая что у пользователя есть набор ролей,о которых знает и сервер, то самое надёжное в данном случае, это обеспечить проверку действий пользователя в соответствии с его ролями сервером. Но так как это требует времени и непонятно как это делать в конкретном случае, то решили поискать решения, которые если и не предотвратят взлом, то сделают его более затруднительным.