C# / VB.NET - .net sql - Piero Tofy.it

Forum - C# / VB.NET - .net sql

darioza (Normal User)
Pro

Messaggi: 104
Iscritto: 06/10/2014

Postato alle 15:45
Giovedì, 18/12/2014

Ciao a tutti!
Auguri a tutti di buone feste e Buon Natale!
Passando a .net...
Secondo voi lo store dei dati di connessione, dove conviene farlo?
avrei la necessità di non lasciarlo in chiaro sul web config
che consigliate?

TheDarkJuster (Member)
Guru^2

Messaggi: 1620
Iscritto: 27/09/2013

Postato alle 16:11
Giovedì, 18/12/2014

un file cifrato, vedi l'implementazione rijndael nel framework

darioza (Normal User)
Pro

Messaggi: 104
Iscritto: 06/10/2014

Postato alle 17:05
Giovedì, 18/12/2014

ciao juster, grazie!
Quindi dici che un file esterno al progetto criptato in rijndael (AES) è sufficiente?
che estensione mi conviene usare?
altrimenti me lo scaricano dal server web...
...e la chiave...come la faccio a farla rimanere...privata?

Ultima modifica effettuata da darioza il 18/12/2014 alle 17:07

TheDarkJuster (Member)
Guru^2

Messaggi: 1620
Iscritto: 27/09/2013

Postato alle 22:37
Giovedì, 18/12/2014

allora: il concetto di base è che anche se te lo scaricano non riusciranno ad aprirlo senza la chiave. L' estensione la decidi tu, io lo lascerei senza, ma se puoi puoi dargli l'estensione .tantononmiapri........ Tieni conto che se decifri il file nel lato client il client avrà prima o poi in memoria i tuoi dati NON CIFRATI, ma questo è inevitabile. Detto questo la chiave la puoi far arrivare al client con un algoritmo di cifrazione asimmetrico tipo RSA. Però TIENI SEMPRE A MENTE che tutto ciò che gira sul client è per definizione NON SICURO

darioza (Normal User)
Pro

Messaggi: 104
Iscritto: 06/10/2014

Postato alle 15:14
Sabato, 20/12/2014

Sono d'accordissimo con te, quanto dici è perfettoe corretto al 100%
L'unica cosa è che, ho spiegato male io, quando mi riferivo al web config, è perché l'applicazione gira su IIS.
Quindi, se vogliamo, il client del mio db non è un user ma un altra mia applicazione.
La mia problematica è legata al tenere al sicuro da occhi indiscreti i dati di connessione al database visto che non ho accesso esclusivamente io a quel server.
Anche se li archivio all'interno dell'applicazione, sono teoricamente esposti...non è una pratica conderata safe..
E con algoritmi a chiavi private, nel momento in cui passo la chiave, termina la sicurezza.
deve esserci una soluzione, ma non mi viene in mente nulla, ne ho trovato nella di ispirante...
Ti viene in mente qualcosa che a me sfugge?

TheDarkJuster (Member)
Guru^2

Messaggi: 1620
Iscritto: 27/09/2013

Postato alle 18:43
Sabato, 20/12/2014

Non mi viene proprio in mente come rendere sicura una connessione da occhi indiscreti, però se usi una chiave asimmetrica un "furbacchione" non può leggere i messaggi che scrivi....... mentre può leggere quelli che ricevi. Però se tu crei una chiave, e poi la invii al server (chiave che non può essere letta) e poi fai utilizzare al server quella dovresti essere abbastanza sicuro finchè qualcuno non guarda la RAM utilizzata dalla tua app

darioza (Normal User)
Pro

Messaggi: 104
Iscritto: 06/10/2014

Postato alle 21:25
Sabato, 20/12/2014

Alle risorse fisiche non ho dato accesso a nessuno, quindi sotto quel profilo è ok...
Utilizzare chiavi e stringhe criptate sembra essere l'unica strada, ma rimane sempre il "bug" che come la mia app chiede i dati per accedere al db all'altra app (che quindi deve essere dislocata in una terza posizione), chiunque da quella macchina potrebbe richiederli...
E quindi tanto sviluppo di questa protezione andrebbe a farsi benedire...
potrebbe andare se ci fosse una strada per identificare l'applicazione richiedente in maniera inequivocabile...
Che ne dici? Fattibile?

TheDarkJuster (Member)
Guru^2

Messaggi: 1620
Iscritto: 27/09/2013

Postato alle 15:44
Lunedì, 22/12/2014

puoi fare l'md5 del programma lato client, ma a che serve se uno scopre l'md5 e te lo invia con un'altra app?

darioza (Normal User)
Pro

Messaggi: 104
Iscritto: 06/10/2014

Postato alle 17:17
Venerdì, 30/01/2015

A nulla, infatti ho optato per il trasferimento dei file.