.Net SQLConnection 类是否有更安全的替代方案？

Question

我很惊讶这个问题没有得到深入讨论：

This article 告诉我们如何使用 windbg 将正在运行的 .Net 进程字符串转储到内存中。

我花了很多时间研究 SecureString 类，它使用非托管固定内存块，并保持数据加密。好东西。

当您使用它的值并将其分配给 System.String 类型的 SQLConnection.ConnectionString 属性时，问题就出现了。这是什么意思？嗯……

• 它以纯文本形式存储
• 垃圾收集移动它，在内存中留下副本
• 可以通过 windbg 内存转储读取

这完全否定了 SecureString 功能！

最重要的是，SQLConnection 类是不可继承的，我什至不能用 SecureString 属性来滚动我自己的；是的，闭源。耶。

新的 DAL 层正在进行中，但对于新的主要版本和如此多的用户而言，每个用户升级至少需要 2 年时间，其他人可能会无限期地留在旧版本上，无论出于何种原因。

由于使用连接的频率，从 SecureString 编组将无济于事，因为不可变的旧副本会一直保留在内存中，直到 GC 出现。无法选择集成的 Windows 安全性，因为某些客户端无法在域上运行，而其他客户端则通过网络漫游和连接。

如何保护内存中的连接字符串，使其无法使用 windbg 查看？

Answer 1

由于它是一个客户端桌面应用程序，如果您想知道您的连接字符串凭据可能会暴露给一些黑客，这是一个设计缺陷...

如果您使用管理员凭据连接到您的 sql 服务器，这就是您的问题。您应该创建一个有限制的用户并在您的应用中使用它。

如果您害怕暴露您的数据库，您可以从应用程序访问网络服务。然后，此 Web 服务将访问数据库并返回结果。

Answer 2

不是问题的真正答案，但仍然：

尝试使用windows认证代替sql认证。即使您设法在程序内存中保护密码，用户也可以通过使用流量嗅探器看到它。

windows认证的另一个好处是sql server不需要存储用户的密码hash。通过确定的 sql 身份验证，黑客可以从哈希中暴力破解密码或将其替换为另一个密码。其实使用一些程序可以很容易地更换密码。

Answer 3

进程和 Sql Server 之间的通信理想情况下发生在主干上，如果这受到损害，那么这是您最不必担心的。

Answer 4

如果您将机器控制到可以读取另一个进程的内存的程度，您还可以将 SecureString 类的引用替换为对 string 的引用。您将有权访问其他进程可以使用的任何私钥。

对于拥有您的进程内存的黑客没有任何防御措施。 :)