Criptare una password per accedere ad un DB remoto

**Ado987** · 22-09-2015, 16:35

Salve, gestisco dei siti web su aruba con db MSSQL, e per accedere al loro DB mi hanno fornito un username ed una password.

Al momento, nei moduli asp che hanno accesso al DB, la password è scritta in chiaro e sto riflettendo su come criptarla.
Ci sono in giro vari algoritmi "unidirezionali" per farlo, come ad esempio lo sha256, ma il problema che vedo è che comunque la password che il db remoto si aspetta è quella in chiaro quindi penso che nel mio caso siano inusabili.

Insomma quello che vorrei evitare è che qualcuno/qualcosa che acceda alla mia cartella ftp remota possa leggere tra i moduli asp del mio sito la password di accesso al db remoto, c'è qualche sistema per fare questo?

Grazie

**MItaly** · 22-09-2015, 19:23

Non è possibile farlo. Come dici tu stesso, alla fine al momento della connessione devi fornire utente e password in chiaro*, per cui anche se la recuperi in maniera offuscata basta che chi accede via ftp aggiunga una riga per stamparla da qualche parte subito prima di effettuare la connessione.

* anche se fosse un hash o qualche altro token opaco non servirebbe a niente - per definizione con quel token è possibile fare qualunque modifica al DB che l'applicazione deve essere in grado di fare.

**Ado987** · 22-09-2015, 19:44

Innanzitutto ti ringrazio del risposta. In effetti temevo che fosse così, però mi chiedo: se usassi un algoritmo di criptazione bidirezionale (con una funzione asp in loco che decripta la password on the fly) alla fine non arginerei almeno i malware automatici?

Tradotto in due parole: al posto di fare

pwd=ciccio

Faccio

pwd=decrypt(xxyyzz)

Dove la funzione decrypt è definita in loco, eviterebbe ad un qualcosa di non umano di parsare la password?

**MItaly** · 22-09-2015, 21:52

Se il punto è difendersi da tool automatici va bene qualunque cosa di leggermente più sofisticato dall'inserire la stringa direttamente nella connection string (anzi, più concretamente basta che ci sia su qualunque cosa di diverso da WordPress o altri CMS ultradiffusi); ma comunque per i tool automatici di solito non è il DB che interessa (non stanno puntando il tuo sito nello specifico), quanto lo spazio FTP per poter caricare pagine di phishing, exploit o similari.

**Ado987** · 23-09-2015, 14:41

Originariamente inviata da MItaly

ma comunque per i tool automatici di solito non è il DB che interessa

Anche io pensavo qualcosa del genere prima di...

http://forum.html.it/forum/showthrea...readid=2930049

**MItaly** · 23-09-2015, 15:18

Se hai cambiato tutte le password del caso mi sembra più probabile che si tratti di SQL injection... se mi giri in privato un link ad un sito magari ci butto un occhio.

**Ado987** · 23-09-2015, 15:42

ti ho scritto in pvt, thanks

Discussione: Criptare una password per accedere ad un DB remoto

Strumenti discussione

Ricerca discussione

Visualizza

Criptare una password per accedere ad un DB remoto

Permessi di invio