Hallo,

derzeit entwickle ich eine Anwendung, die mit einem REST Webservice kommunizieren soll. Die Frage, wie sichere ich das ganze vernünftig ab? Bisher ist mein Vorgehen wie folgt (grob gezeichnet):

• SERVER-Benutzer meldet sich am Server mit Benutzername und Passwort an (einmalig über Webinterface)
• SERVER-Passwort wird als gesalzener Hash in DB geschrieben
• SERVER-Aus Teilen von diesem Hash wird ein gesalzener Authentifizierungsschlüssel generiert
• CLIENT-Benutzer gibt Benutzername und Passwort ein - Passwort wird verschlüsselt gespeichert
• CLIENT-Jetzt kommt die eigentliche Anfrage an den Webservice: Passwort wird auf dem Client entschlüsselt, gehasht und der gesalzene Authentifizierungsschlüssel generiert und pro Request gesendet
• Kommunikation läuft über SSL

Die Anwendung soll kommerziell werden. Ich denke, das Thema Sicherheit habe ich schon ganz gut mit der obigen Vorgehensweise im Griff, aber was mir Bauchschmerzen bereitet: Was mache ich, wenn ein böser Bube einen CLienten knackt. So erhält er alle Infos zu den Verschlüsselungen und könnte den kompletten Server kompromittieren. Was mein Ihr?

Viele Grüße...