C# Sicurezza dei dati

**XWolverineX** · 25-09-2010, 10:47

Salve.
Da un pò di tempo oramai sviluppo diversi applicativi per la mia azienda in C#.

Ieri, senza far niente, ho scaricato un reflector da internet e ho cominciato a guardarmi il codice sorgente tanto carino e tanto contento.

La cosa interessante è stato vedere completamente tutte le stringhe e le proprietà senza problemi.
L'unica cosa che mi ha preoccupato è stato vedere in chiaro la connectionstring del database a cui mi connetto.

Ora, dove mi trovo non sanno nemmeno cosa è una connectionstring, ma in casi di malintezionati, cosa dovrei fare per renderla invisibile?

**Il Totem** · 25-09-2010, 10:53

La nuda verità è che un assembly .NET non è mai veramente sicuro. Tutto quello che ci scrivi dentro, anche se offuscato, criptato, o nascosto mediante redirezioni del flusso di esecuzione, è pur sempre analizzabile. I metodi che ho appena citato contribuiscono ad allungare il tempo di analisi quanto basta per far desistere i più dal tentare, ma non rende l'applicazione a prova di bomba. Leggi qui.

**XWolverineX** · 25-09-2010, 11:05

Ho letto, e in effetti hai confermato le mie perplessità.
Stavo guardando alla classe SecureString, ma va comunque inizializzata e il problema rimane...

**albgen** · 25-09-2010, 13:18

La soluzione consiste nel riscrivere l'applicazione in modo che ogni operazione sul database richieda un token generato previa verifica utente e password.
Quindi ogni operazione sul db richiede il token.

**MItaly** · 25-09-2010, 13:27

La connectionstring (con tanto di utente e password) non dovrebbe essere inclusa direttamente nell'eseguibile, ma stare in un file di configurazione.

Ovviamente il problema a questo punto si sposta sul file di configurazione.

**albgen** · 25-09-2010, 13:34

un'altro modo è quello di memorizzare la password del db in modo criptato dentro alla connstring. Quindi la password del db viene criptata a sua volta con un'altra password che si memorizza dentro l'eseguibile.
All'avvio, il programma legge la connstring e decrypta la password del db con quella che ha memorizza al suo interno.

Ovviamente è una sicurezza non forte ma dovrebbe tenere lontano tanta gente che si spaccia per hacker.

**XWolverineX** · 25-09-2010, 13:52

Cio è se ho capito bene chi usa il net è destinato a prenderlo nel culo.

**albgen** · 25-09-2010, 13:55

Originariamente inviato da XWolverineX
Cio è se ho capito bene chi usa il net è destinato a prenderlo nel culo.

No, non hai capito niente.
Il problema rimane anche negli eseguibili con codice macchina e non solo negli assembli .net.
Solo che con .net è più semplice.

Discussione: C# Sicurezza dei dati

Strumenti discussione

Ricerca discussione

Visualizza

C# Sicurezza dei dati

Permessi di invio