Questo sito utilizza cookies, anche di terze parti, per mostrare pubblicità e servizi in linea con il tuo account. Leggi l'informativa sui cookies.
Username: Password: oppure
C# / VB.NET - .net sql
Forum - C# / VB.NET - .net sql

Avatar
darioza (Normal User)
Pro


Messaggi: 104
Iscritto: 06/10/2014

Segnala al moderatore
Postato alle 15:45
Giovedì, 18/12/2014
Ciao a tutti!
Auguri a tutti di buone feste e Buon Natale!
Passando a .net...
Secondo voi lo store dei dati di connessione, dove conviene farlo?
avrei la necessità di non lasciarlo in chiaro sul web config
che consigliate?

PM Quote
Avatar
TheDarkJuster (Member)
Guru^2


Messaggi: 1453
Iscritto: 27/09/2013

Segnala al moderatore
Postato alle 16:11
Giovedì, 18/12/2014
un file cifrato, vedi l'implementazione rijndael nel framework

PM Quote
Avatar
darioza (Normal User)
Pro


Messaggi: 104
Iscritto: 06/10/2014

Segnala al moderatore
Postato alle 17:05
Giovedì, 18/12/2014
ciao juster, grazie!
Quindi dici che un file esterno al progetto criptato in rijndael (AES) è sufficiente?
che estensione mi conviene usare?
altrimenti me lo scaricano dal server web...
...e la chiave...come la faccio a farla rimanere...privata?

Ultima modifica effettuata da darioza il 18/12/2014 alle 17:07
PM Quote
Avatar
TheDarkJuster (Member)
Guru^2


Messaggi: 1453
Iscritto: 27/09/2013

Segnala al moderatore
Postato alle 22:37
Giovedì, 18/12/2014
allora: il concetto di base è che anche se te lo scaricano non riusciranno ad aprirlo senza la chiave. L' estensione la decidi tu, io lo lascerei senza, ma se puoi puoi dargli l'estensione .tantononmiapri........ Tieni conto che se decifri il file nel lato client il client avrà prima o poi in memoria i tuoi dati NON CIFRATI, ma questo è inevitabile. Detto questo la chiave la puoi far arrivare al client con un algoritmo di cifrazione asimmetrico tipo RSA. Però TIENI SEMPRE A MENTE che tutto ciò che gira sul client è per definizione NON SICURO

PM Quote
Avatar
darioza (Normal User)
Pro


Messaggi: 104
Iscritto: 06/10/2014

Segnala al moderatore
Postato alle 15:14
Sabato, 20/12/2014
Sono d'accordissimo con te, quanto dici è perfettoe corretto al 100%
L'unica cosa è che, ho spiegato male io, quando mi riferivo al web config, è perché l'applicazione gira su IIS.
Quindi, se vogliamo, il client del mio db non è un user ma un altra mia applicazione.
La mia problematica è legata al tenere al sicuro da occhi indiscreti i dati di connessione al database visto che non ho accesso esclusivamente io a quel server.
Anche se li archivio all'interno dell'applicazione, sono teoricamente esposti...non è una pratica conderata safe..
E con algoritmi a chiavi private, nel momento in cui passo la chiave, termina la sicurezza.
deve esserci una soluzione, ma non mi viene in mente nulla, ne ho trovato nella di ispirante...
Ti viene in mente qualcosa che a me sfugge?

PM Quote
Avatar
TheDarkJuster (Member)
Guru^2


Messaggi: 1453
Iscritto: 27/09/2013

Segnala al moderatore
Postato alle 18:43
Sabato, 20/12/2014
Non mi viene proprio in mente come rendere sicura una connessione da occhi indiscreti, però se usi una chiave asimmetrica un "furbacchione" non può leggere i messaggi che scrivi....... mentre può leggere quelli che ricevi. Però se tu crei una chiave, e poi la invii al server (chiave che non può essere letta) e poi fai utilizzare al server quella dovresti essere abbastanza sicuro finchè qualcuno non guarda la RAM utilizzata dalla tua app

PM Quote
Avatar
darioza (Normal User)
Pro


Messaggi: 104
Iscritto: 06/10/2014

Segnala al moderatore
Postato alle 21:25
Sabato, 20/12/2014
Alle risorse fisiche non ho dato accesso a nessuno, quindi sotto quel profilo è ok...
Utilizzare chiavi e stringhe criptate sembra essere l'unica strada, ma rimane sempre il "bug" che come la mia app chiede i dati per accedere al db all'altra app (che quindi deve essere dislocata in una terza posizione), chiunque da quella macchina potrebbe richiederli...
E quindi tanto sviluppo di questa protezione andrebbe a farsi benedire...
potrebbe andare se ci fosse una strada per identificare l'applicazione richiedente in maniera inequivocabile...
Che ne dici? Fattibile?

PM Quote
Avatar
TheDarkJuster (Member)
Guru^2


Messaggi: 1453
Iscritto: 27/09/2013

Segnala al moderatore
Postato alle 15:44
Lunedì, 22/12/2014
puoi fare l'md5 del programma lato client, ma a che serve se uno scopre l'md5 e te lo invia con un'altra app?

PM Quote
Avatar
darioza (Normal User)
Pro


Messaggi: 104
Iscritto: 06/10/2014

Segnala al moderatore
Postato alle 17:17
Venerdì, 30/01/2015
A nulla, infatti ho optato per il trasferimento dei file.

PM Quote