4 Stimmen

Robert Harvey avatar

Wie sicher ist die Verwendung eines verschlüsselten appSettings-Elements in Ihrer app.config?

Gefragt el 3 de Oktober, 2009
Wann wurde die Frage gestellt
761 Ansichten
Anzahl der Besuche der Frage
2 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

In einem CodingHorror-Blogbeitrag Ein Kommentator bemerkte, dass es heute schwieriger ist, sensible Konfigurationsinformationen (z. B. SQL-Server-Verbindungszeichenfolgen) in einem Programm zu verschleiern als früher, da der Verschleierungsalgorithmus recht einfach mit Reflektor .

Ein anderer Kommentator schlug vor, dass verschlüsselte appSettings als Alternative verwendet werden könnten.

Wie sicher sind verschlüsselte appSettings? Ist es ein Banktresor, eine verschlossene Tür oder ein offenes Fenster, und warum? Ist es jemals sicher, "sensible Informationen" in einer ausführbaren Datei zu speichern?

Gefragt el 3 de Oktober, 2009 von Robert Harvey

Antworten

Zu viele Anzeigen?

2voto

Joe avatar
Joe Punkte 117971

Verschlüsselungsalgorithmen sind sicher: Das Hauptproblem bei der Verwendung von Verschlüsselung für die Sicherheit ist die sichere Verwaltung der Schlüssel.

Das Verstecken von Schlüsseln in der ausführbaren Anwendung war nie sicher, aber es ist wahrscheinlich richtig, dass sie in einer verwalteten ausführbaren Datei mit einem Tool wie Reflector leichter zu finden sind als in einer herkömmlichen nicht verwalteten ausführbaren Datei.

Die Verschlüsselung einer Konfigurationsdatei kann auf einem Server nützlich sein. Wenn Sie beispielsweise die Datei web.config mit DPAPI und dem Maschinenschlüssel verschlüsseln, können nur Benutzer, die sich beim Server anmelden können oder Schreibzugriff auf die Serverfestplatte haben, die Datei entschlüsseln:

Jeder, der über das Netzwerk Lesezugriff auf die Serverfestplatte oder Zugriff auf eine Sicherungskopie des Anwendungsverzeichnisses hat, kann es nicht entschlüsseln.

Beantwortet el 3 de Oktober, 2009 von Joe (117971 Punkte )

0voto

Otávio Décio avatar
Otávio Décio Punkte 72052

Die eigentliche Frage ist, vor wem Sie versuchen, den Benutzer und das Passwort zu schützen? Bei einer Desktop-Anwendung hat der Benutzer wahrscheinlich mit seinem eigenen Konto Zugriff auf die Datenbank, ohne dass er ein Passwort benötigt (vertrauenswürdig). Bei einer Webanwendung befindet sich die Konfigurationsdatei an einem (hoffentlich) geschützten Ort. Bis jetzt habe ich nicht viele Gründe gefunden, die Konfigurationsdatei zu verschlüsseln.

Beantwortet el 3 de Oktober, 2009 von Otávio Décio (72052 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X