dotNETportal.cz

Zdravím všechny,

díky Vaší pomoci a ochotě pomoci amatérovi, se mi konečně podařilo dotáhnout můj webový projekt do fáze, kdy jej mohu umístit na server.

V průběhu tvorby a hledání v článcích jsem se dozvěděl o nutnosti zabezpečit (zakódovat) můj ConnectionString, aby jej nebylo možné přečíst, ale bohužel se mi nedaří najít článek, kde to bylo popisováno.

Můžete mi prosím někdo poradit jak tedy zabezpečit ten ConnectionString, abych mohl bez obav vyzkoušet svůj projekt na serveru.

Jak jsem již zmiňoval nejsem žádnej profík, tak prosím trochu podrobněji.

Mockrát děkuji

To bohužel není úplně jednoduché. Řešení je několik a přiznám se, že žádné mi úplně nevyhovuje.

Návod na použití encryptovací sekce .NETu tady:

http://chiragrdarji.wordpress.com/2008/0...

Takto encryptovaný connection string je ale nepřenosný na jiný PC.

Takže pokud to nevyhovuje, nezbývá než si napsat vlastní tzv. Configuration Section Encryption Provider.

Děkuji za odpověď,

ale svého providera si určitě sám napsat nedokážu.

Znamená to tedy, že pokud connectionstring nezakóduji, nebude vůbec žádný problém pro kohokoliv si ho zobrazit a následně se mi nabourat do databáze ?

A neexisuje takový provider ke stažení?

Díky

Ano, bude veřejný a tudíž i zkopírovatelný. Jiné providery šifrování jsem nenalezl. To ale naznamená, že neexistují.

Řešení, které není optimální, ale bude použitelné v rámci vašich znalostí, je doplnit connection string až při používání o heslo, které budete uchovávat přímo v programu. Bezpečné to není, ale pořád lepší než mít heslo přímo v přiloženém souboru.

Píšete zde o té variantě z doplněním hesla až při používání.

Bohužel přesně nevím jak to myslíte, ale předpokládám, že se nejedná o nic tak složitého(viz mé znalosti), proto bych rád požádal o bližší informace jak postupovat. Děkuji.

V průběhu seznamování s ASP.NET jsem v převážné většině čerpal z Vašich článků a videotutoriálů, bez kterých bych se vůbec nehnul z místa a za něž Vám patří můj dík a obdiv. Nicméně v některém z nich jste se zmiňoval o bezpečností hrozbě s nezakódovaným connectionstringem. Je možné, že jsem Vás špatně pochopil (možná se jednalo o situaci, kdy není připojovací řetězec uložen ve "web.config").

Jestli to tedy chápu dobře, pokud mám connectionstring uložený ve "web.config", nemusím se bát že své přihlašovací údaje k MSSQL vystavím jako ve výkladní skříni ???

Pokud ano tak není co řešit ...

Děkuji

Proč by byl nepřenosný? Vždyť na tom jiném počítači stačí nainstalovat ten klíč do příslušného úložiště a je to.