[C#/VB.NET] Sicurezza di ConnectionString nel file eseguibile

**Markon3** · 29-09-2006, 13:45

Salve a tutti.
Finora ho programmato essenzialmente per il web, asp e asp.net
Il fatto che l'utente sia "fisicamente" lontano dal codice è un grosso vantaggio e non mi sono mai preoccupato troppo della stringa di connessione al db che scrivo in chiaro nel web.config

Ora sto passando alla progettazione di applicazioni Windows, usando Visual Studio ho pochi problemi nel realizzare semplici moduli che leggano e scrivono dati in un db remoto.

Ma sorge il problema della sicurezza : posso fidarmi della stringa di connessione dopo che questa viene compilata nell'eseguibile finale ?

I dati vengono comuque criptati su rete ? o Basta uno sniffer per leggerli ? Se vegono criptati posso fidarmi dell'algoritmo utilizzato (quale'è ) ?

Grazie a tutti

**alka** · 29-09-2006, 15:13

Ho spostato la discussione all'interno del forum dedicato a Visual Basic (VBx, VBA, ...) e ai linguaggi per .NET Framework (VB.NET, C#, ...).

In futuro, poni in questo forum le domande relative a questi linguaggi.

Ciao!

**MItaly** · 29-09-2006, 16:16

Originariamente inviato da Markon3
Ma sorge il problema della sicurezza : posso fidarmi della stringa di connessione dopo che questa viene compilata nell'eseguibile finale ?

Assolutamente no, basta ILDASM per recuperare qualunque stringa tu inserisca nel codice.

I dati vengono comuque criptati su rete ? o Basta uno sniffer per leggerli ? Se vegono criptati posso fidarmi dell'algoritmo utilizzato (quale'è ) ?

Di che DBMS stiamo parlando? Nel tuo post c'è scritto genericamente "SQL", che potrebbe stare tanto per Microsoft SQL Server quanto per MySQL o altri DBMS.

**Markon3** · 30-09-2006, 10:41

innanzitutto grazie mille per la risposta.
poi...
immaginavo che certo la stringa non potesse essere al sicuro seppure compilata.

intendo usare SQL Server di Microsoft, in particolare nella versione Express... (e direi ovviamente, visto le cifre

)

Ho fatto un po' di ricerche sul web e se ho capito bene la strada da seguire potrebbe essere quella dei webservice. ovvero dovrei scrivere un codice "server" da far girare sul web e poi consentire al client software di interfacciarsi con il web service e NON direttamente al database.

è corretta come analisi ?

**MItaly** · 01-10-2006, 12:34

Sì, è il metodo più sicuro; ovviamente è bene far viaggiare cifrati i dati tra l'applicazione Windows Forms e il Web Service.

Discussione: [C#/VB.NET] Sicurezza di ConnectionString nel file eseguibile

Strumenti discussione

Ricerca discussione

Visualizza

[.NET + SQL] Dubbi sulla sicurezza.

Moderazione

Re: [.NET + SQL] Dubbi sulla sicurezza.

Permessi di invio