Bezpečné uložení hesla v aplikaci

Bezpečné uložení hesla v aplikaci zodpovězená otázka

Zdravím všechny.

Chtěl bych se obecně zeptat, ne jenom pro VB .NET. Když používám v programu jakékoliv ověření (ať přístup do databáze, domainy, nebo administratorsky pristupy), tak se tam ukazuje uživatelské jméno a heslo, nebo jkakákoliv informace, která by se neměla nikomu dostat do ruky. Jak zamezím tomu, aby když mi někdo rozkompiluje exe, nebo dll, aby se k nim dostal?

Existuje nějaká ochrana proti dekopilaci? Nebo je nějaký speciální způsob ukládání těchto citlivých informací?

Díky za nápady a připomínky

nahlásit spam

odpovědět

14. 9. 2010 11:05

Tomáš Herceg

1847 3847

Ideální je heslo neukládat a nechat si ho vždy zadat od uživatele. I tak je ale možné se k němu dostat bude v paměti.

nahlásit spam

1 / 1

odpovědět

14. 9. 2010 11:42

Ondřej Linhart

-553 3274

To s tou pamětí řeší třída SecureString.

nahlásit spam

1 / 1

odpovědět

DotNETcollege: Mohlo by vás zajímat

Kontejnery, Docker a Azure Kubernetes Service (AKS)

Microsoft SQL Server - optimalizace struktur a dotazů

Pokročilé návrhové vzory

Používáme IoC/DI kontejnery

Základní návrhové vzory

Asynchronní, vícevláknové a paralelní aplikace

Zabezpečení webové aplikace

Návrh distribuovaného systému pomocí DDD, Event Sourcing a CQRS

Domain-Driven Design (.NET)

Zabezpečení web serveru

18. 9. 2010 10:10

Tomáš Herceg

1847 3847

Jen částečně, protože ne každá funkce, do níž můžete heslo předat, má overload pro SecureString. Třeba do connection stringu ho zabalit musíte a tam už bude jako obyčejný řetězec.

Navíc když ho dokáže rozšifrovat aplikace, tak ho z principu musí jít rozšifrovat i útočníkem, i když to nebude tak jednoduché.

nahlásit spam

odpovědět

14. 9. 2010 11:46

Martin Kuranda

0 14

No jasněže, ale když budu mít databázovou aplikaci, kde budu skládat connection string, tak tam bude heslo, které ani uživatel znát nemá.

např.

connStr="server=srvSQL uid=dbUser pass=dbPass database=defDb"

nahlásit spam

odpovědět

14. 9. 2010 12:08

Ondřej Linhart

-553 3274

Proto píšu používat integrované ověřování (Trusted_Connection, Integrated Security). A nebo lze použít šifrovanou konfigurační sekci.

nahlásit spam

1 / 1

odpovědět

14. 9. 2010 14:40

Martin Kuranda

0 14

A jeste jednu otazku. Nemam moznost vyuzit integrovane overovani. Jak je to s tou šifrovanou konfiguracni sekci? Nemate nekde po ruce odkaz na nejaky clanek, nebo priklad, nebo cokoliv?

nahlásit spam

odpovědět

14. 9. 2010 18:14

Ondřej Linhart

-553 3274

Možnost použít integrované ověřování má kdokoliv a to dokonce i bez domény. O šifrované konfigurační sekci je toho dost na MSDN:

http://msdn.microsoft.com/en-us/library/...

nahlásit spam

2 / 2

odpovědět

15. 9. 2010 10:43

Martin Kuranda

0 14

Díky moc za tip

nahlásit spam

odpovědět

14. 9. 2010 11:44

Ondřej Linhart

-553 3274

Pro připojení k SQL Serveru můžete použít integrované ověřování a to potom přihlásí uživatele s oprávněním na základě jeho Windowsové identity a není potřeba zadávat jméno ani heslo.

nahlásit spam

1 / 1

odpovědět

otázka připomínka kladné hodnocení záporné hodnocení

Nadpis:

Antispam:

Komu se občas házejí perly?

Příspěvek bude publikován pod identitou anonym.

Administrátoři si vyhrazují právo komentáře upravovat či mazat bez udání důvodu.
Mazány budou zejména komentáře obsahující vulgarity nebo porušující pravidla publikování.

Pokud nejste zaregistrováni, Vaše IP adresa bude zveřejněna. Pokud s tímto nesouhlasíte, příspěvek neodesílejte.

dotNETportal.cz