[C#] Sicurezza nelle comunicazioni Client/Server - SOAP o RESTFull API

[w_t]

Salve,
devo sviluppare un progetto Client/Server in C#, vi spiego:

Diciamo che ho 500 PC-Client i quali devono inviare e ricevere piccole comunicazioni al Server, pochi byte a comunicazione.

Nei Client gira Windows 10 IoT Enterprise, Il software è un applicazione Win Form in C#, per l'interfaccia grafica.

La connessione dei Client è fatta con una normalissima ADSL - (IP Dinamico).

Il Server è in PC ospitato in Housing(Aruba) dove gira Windows.

In queste comunicazioni il Client invia al Server anche dati di carte di credito, dove nel Server si effettuano le transazioni bancarie tramite le API del sistema di pagamento.

Il punto è:
- serve una connessione sicura
- serve una comunicazione cifrata
- serve identificare la comunicazione per sapere se ha il permesso di entrare.

Inizialmente per soddisfare quei punti avevo pensato ad un Web Service SOAP.
Poi mi sono documentato sulle API RESTFull

Ora non sono deciso su come procedere.

Cosa ne pensate?

[oregon]

Puoi dirmi che tipi di pagamenti così li evito?

A parte gli scherzi, prima di tutto dovresti soffermarmi di più sulla sicurezza .... dovresti installare a bordo dei pc un certificato adeguato perché questo venga riconosciuto dal server (idem per il server). Studia bene questa parte tutto il resto è abbastanza relativo

[w_t]

Ho presente questo approccio, ci sono passato con PHP tramite curl da questa casistica.

Diciamo che nei PC Client scarico il Certificato .pem o .crt dal Server e mi presento al server con quelle credenziali.

Cosa intendi per: (idem per il server)??

Devi presentare con il certificato del Server al Server, tu vuoi ritornare indietro con una nuova comunicazione al Client e quindi farti riconoscere che è il tuo Server che ti risponde??

Comunque perchè dici che tutto il resto è relativo?
- REST non comunica cifrato, ma in chiaro
- REST è molto leggero e rapido nelle richieste
- etc...

- SOAP ha le sua sicurezze
- SOAP invia molti più dati ed è lento nella comunicazione
- etc...

Quì sono indeciso, a me piace SOAP ma chiedo:
- che latenza ha di invio e di risposta se dovessimo quantificare?
- quando si può affermare che è pesante e lento, quando ho una linea 64Kb(modem) e faccio una richiesta al secondo oppure quando?
- al server che tipo di carico potrebbe dare ricevere 100 richieste di pochi byte al secondo?

Per terminare, se mi rubano un Client, hanno in mano il certificato del Server e l'exe che interroga il Server, a quel punto qualsiasi programmatore esperto potrebbe entrare nel server giusto??

Si lo so, per questo nel server vanno adottate misure alternative di protezione e riconoscimento, ma tralasciando questo potrebbero agire nel Server.

[w_t]

Ho deciso di fare una api restful in C# e il client chiaramente in C#


Vorrei fare una cifratura a due livelli, cioè:


https mi garantisce che la connessione avviene su un canale sicuro, scambio di chiavi simmetriche mediante protocollo asimmetrico, poi i dati che invio me li cripto.


- Ho trovato decine di articoli/guide/video/etc.., ma nessuno mi spiega quel metodo.

Avete qualche link per vedere se riesco a capire come fare?

Riassumendo: un "server e un client che si parlano" con il metodo descritto sopra?