那些遇到过的问题

使用Entity Framework时,如何将数据库用户名和密码安全地存储在web.config文件中

Ben*_*enM 6 c# entity-framework database-connection password-protection

使用Entity Framework访问非本地服务器上的数据库时,如何在连接字符串中指定用户名和密码参数(存储在web.config文件中)?

我已经阅读了C#分步指南(John Sharp 2010版),因为潜在的逆向工程或有人掌握了源代码,所以从不硬编码到您的应用程序中.所以我想知道这样做的传统最佳实践.

Edu*_*tru 7

硬编码用户和密码有三个原因:

  • 它给你一个安全的错误印象,因为当你用文本编辑器查看二进制文件时你什么都不懂,但实际上拆卸.NET程序集是件小事
  • 它迫使所有软件开发人员知道用户和密码
  • 这意味着更改用户/密码对需要新的部署,其中还包括重新编译应用程序

这个问题没有神奇的解决方案,在这种情况下,安全性只能与负责安全的人员的纪律和善意一样好.

在我的公司,它是这样的:

  • 软件开发人员无权访问生产数据库,而且他们肯定不知道用户和密码
  • 软件管理员拥有用户名和密码,他们web.config在生产机器上部署应用程序时将开发部门的提交与他们自己的秘密合并
  • 没有其他人可以从软件管理员访问生产机器appart

加密用户和密码web.config只会对你有所帮助.最终,您必须在应用程序中以清晰的形式对加密密钥进行硬编码,这会将我们带回到反汇编问题中.

在我看来,一个非常好的解决方案是将我公司发生的事情和加密与明确的密钥和混淆相结合.

一般的想法是:

  • 拿我说的关于应用程序管理员的人
  • 修改一个小细节:他们不知道明确的用户名和密码,他们知道加密的表格
  • 只有开发人员有密钥才能解密加密的用户名和密码,并且他们在运行时使用它
  • 开发人员应该对他们的程序集进行模糊处理,以便任何人都不值得尝试对二进制文件进行逆向工程,找出清除密钥,以某种方式向应用程序管理员询问加密的用户名和密码是什么(在工作场所中喝酒时)然后把所有东西放在一起

这意味着某人(可能是公司的所有者或其他负责人)需要使用"greasemonkey"应用程序来加密用户名和密码,并将结果加密给应用程序管理员.

不要忘记还有数据库管理员最初给所有者一个初始的凭证对.所有者需要更改密码,然后完成我布置的所有内容.

总之,有许多解决方案,有些比其他解决方案更狡猾.它不仅仅在工具和代码中,而且在学科中.

归档时间:

查看次数:

2207 次

最近记录:

12 年,8 月 前
相关归档
从.net中的app.config或web.config读取设置 764
列出字符串/整数的所有排列 150
如何检测WPF中的修饰键状态? 137
什么是最简单的正则表达式来验证电子邮件是否盲目接受它们? 74
如何正确比较C#中的十进制值? 49
最简单的方法来读取WebResponse的响应 42
实体框架:SqlGeography与DbGeography 13
如何将类属性(带导航道具)作为实体属性?复杂的类型不会 10
添加到LinQ-to-Entities中的Update的Where子句 5
SQL Server Profiler显示针对master数据库的EF查询? 4
难疑归档
For-each在JavaScript中的数组? 4448
如何克隆或复制列表? 2289
如何在MySQL中使用命令行导入SQL文件? 1836
将浮点数限制为两个小数点 1527
如何从文件内容创建Java字符串? 1440
如何删除导出的环境变量? 1439
UNION和UNION ALL有什么区别? 1350
如何一次删除所有Git stashes? 1280
在Node.js中读取环境变量 1240
URL.Combine的URL? 1186