【发布时间】:2012-05-10 14:52:50
【问题描述】:
WinFormsApp 登录将信息传递到 .php(基于服务器)登录(提供的凭据正确)到 DB 以检索解密密钥。 WinFormsApp 然后在硬编码的加密连接字符串上使用解密密钥并呈现应用程序可用。
这将消除在运行时加密/解密连接字符串的必要性,实际上使任何未经授权的人使用无用的软件。
我的思维过程有什么问题吗?
【问题讨论】:
标签: mysql vb.net security connection-string
【发布时间】:2012-05-10 14:52:50
【问题描述】:
如果解密密钥以纯文本形式发送回 WinForms 应用程序,那么这在技术上就是一个安全漏洞。但是,由于只有成功通过身份验证才能获得它,所以它有所缓解。为了提高安全性,您可以在两端使用硬编码的加密密钥对解密密钥进行加密。这并不完全是万无一失的,但有时安全性并不是要 100% 万无一失,它只是将标准提高到足够高。这取决于它需要有多安全。更彻底的安全设计是让服务器端进行所有数据访问,这样客户端就不需要连接字符串,但我确信这需要大量的重新设计。或者,如果它是 SQL Server,您可以使用集成安全性。
【讨论】:
-
这是一个 MySQL 服务器。而且我不在乎解密密钥是否以纯文本形式发送,只要只有有权访问该软件的人才能看到它。我的软件的目标市场是技术文盲。从这个意义上说,即使有人反汇编了我的软件,他们也不知道数据库,只能看到存储过程。
-
对。因为它是纯文本的,网络上的一个简单的数据包嗅探器可以看到它越过线路,但如果你不担心它们那么精明,这听起来是一种相当安全的方法。