Ochrana programu heslem

Ochrana programu heslem zodpovězená otázka

21. 10. 2008 23:08

31 111

Dobrý den,

chtěl bych chránit aplikaci heslem a narazil jsem na problém. Ochrana heslem bude jako option, takže potřebuju ukládat dvě hodnoty, heslo(hash) a boolean hodnotu(jestli bude app vyžadovat heslo). Uložení hesla bych neviděl jako velký problém, protože se ukládá jen hash a ten o něm nic neříká. Problém je ta druhá hodnota. Ze všech možností, o kterých jsem uvažoval mi přijde jako nejlepší cesta, ukládat tyto hodnoty do zaheslované databáze( se kterou program pracuje).

Takže otázka je: Máte s tím nějaké zkušenosti, nebo jak byste postupovali?

Za všechny reakce díky

nahlásit spam

odpovědět

21. 10. 2008 23:41

Ondřej Linhart

-553 3274

Použil bych System.Configuration.ProtectedConfigurationSection, což je šifrováním chráněná skupina konfiguračních hodnot, která se dá naprosto bezproblémově integrovat do již existujícího konfiguračního systému dané aplikace. Šifrování a dešifrování hodnot konfigurace probíhá naprosto transparentně. Pokud jste nikdy s konfiguračním API .NET Frameworku nepracoval, bude nutné nastudovat základy (ConfigurationSection, ConfigurationElement atd.).

Jinak nevím co máte na mysli "zaheslovanou databází", ale uvědomte si, že do databází Microsoft SQL Serveru má plný přístup každý člen skupiny Administrators (což jsou bohužel ve většině případů i normální uživatelé) pokud se pro přihlášení použije Windows autentizace místo SQL autentizace.

nahlásit spam

3 / 3

odpovědět

22. 10. 2008 16:48

Honza Dufek

31 111

Díky za odpověď. Na to System.Configuration se podívám.

S tou databází je to tak, že používám SQL Server Compact Edition, takže si myslím, že dostat se do bez hesla ní nebude tak snadné. Rád bych na to znal Váš názor.

nahlásit spam

odpovědět

DotNETcollege: Mohlo by vás zajímat

Kontejnery, Docker a Azure Kubernetes Service (AKS)

Microsoft SQL Server - optimalizace struktur a dotazů

Pokročilé návrhové vzory

Používáme IoC/DI kontejnery

Základní návrhové vzory

Asynchronní, vícevláknové a paralelní aplikace

Zabezpečení webové aplikace

MAUI - multiplatformní aplikace v .NETu

Návrh distribuovaného systému pomocí DDD, Event Sourcing a CQRS

Zabezpečení web serveru

22. 10. 2008 18:51

Petr Zajíc

142 344

Nene, výše popsaný problém je slabinou prakticky všech edicí SQL serveru. Teprve pokud máte databázi na nějakém serveru, na nějž se nepřihlašují uživatelé, a který má rozumně nastavena práva, tak je to relativně bezpečné.

nahlásit spam

1 / 1

odpovědět

22. 10. 2008 19:26

Honza Dufek

31 111

Jenomže SQL compact není server jako takový...

http://vbnet.cz/blog-clanek--39-sql_serv...

nahlásit spam

odpovědět

24. 10. 2008 15:19

Honza Dufek

31 111

Tak jsem se snažil nastudovat ConfigurationSection, ConfigurationElement, ProtectedConfigurationSection, atd.,ale moc moudrej z toho nejsem. Nemohl byste uvést nějaký příklad, nebo mě odkázat, kde bych nějaké příklady našel?

Díky

nahlásit spam

odpovědět

29. 10. 2008 9:47

Ondřej Linhart

-553 3274

Následující zdroje by vám měly usnadnit pochopení konfiguračního API (alespoň mě byly velmi užitečné a zodpověděly mi spoustu otázek na které jsem v MSDN nenalezl odpovědi):

http://blogs.msdn.com/rprabhu/articles/4...

http://msdn.microsoft.com/en-us/magazine...

http://www.codeproject.com/KB/dotnet/mys...

http://www.codeproject.com/KB/vb/CustomS...

http://blogs.msdn.com/johan_stenbergs_bl...

nahlásit spam

1 / 1

odpovědět

29. 10. 2008 11:57

Honza Dufek

31 111

Díky za ochotu. Myslím že tohle mi pomůže

nahlásit spam

odpovědět

Ja som pouzil zaheslovany mdb subor, do ktoreho som vlozil

heslo pre aplikaciu.

Kod pre otvorenie zaheslovanej databazy a precitanie pola

s heslom.

V projekte je nutne mat referenciu na DAO.

Dim db As DAO.Database
        Dim tb As DAO.Recordset
        Dim cestaApp As String = My.Application.Info.DirectoryPath
        Dim DAODBEngine_definst As New DAO.DBEngine()
        db = DAODBEngine_definst.OpenDatabase(cestaApp & "\" & "heslo.mdb", False, False, ";pwd=123")
        tb = db.OpenRecordset("Select * From tabHeslo")
        Me.TextBox1.Text = tb("Heslo").Value
        tb.Close()
        db.Close()

nahlásit spam

-1 / 1

odpovědět

20. 11. 2008 12:21

Ondřej Linhart

-553 3274

Už jen to, že máte heslo natvrdo v kódu je naprostá hovadina...

nahlásit spam

odpovědět

Asi ste to zle pochopil. Heslo nie ulozene natvrdo v kode.

Je ulozene v databaze a da sa prepisovat alebo kodovat priamo z vytvorenej aplikacie. Aplikacia sa pri spusteni pyta na heslo, ktore potom overuje s heslom v databaze.

Ja som tento pristup pouzival bez problemov. Je to dost jednoduche.

nahlásit spam

odpovědět

1. 12. 2008 9:36

Ondřej Linhart

-553 3274

K čemu je tedy hodnota "pwd=123" v connection stringu? Předpokládám, že je to heslo pro přístup do databáze. Zde je slabé místo v programu, kdokoliv si toto heslo může jednoduše zjistit a změnit/odstranit heslo uložené v databázi. Pokud do databáze ukládáte heslo jako čistý text, pak už ani nemá cenu to dále řešit (heslo v textové podobě se NIKDY nikam neukládá, vždy se používá hodnota hash která se porovnává s hashem zadaného hesla).

nahlásit spam

1 / 1

odpovědět

otázka připomínka kladné hodnocení záporné hodnocení

Nadpis:

Antispam:

Komu se občas házejí perly?

Příspěvek bude publikován pod identitou anonym.

Administrátoři si vyhrazují právo komentáře upravovat či mazat bez udání důvodu.
Mazány budou zejména komentáře obsahující vulgarity nebo porušující pravidla publikování.

Pokud nejste zaregistrováni, Vaše IP adresa bude zveřejněna. Pokud s tímto nesouhlasíte, příspěvek neodesílejte.

dotNETportal.cz