Security веб проекта на .NET

q_q4138 · Post by **q_q4138** » 08 Apr 2004 03:29

Привет всем,

Делаю веб проект в VS, VB. По разным причинам сложно выносить connection strings в web.config, они остаются в code behind. Насколько я рискую в плане security? Мнения хакеров приветствуются

.

Gennadiy · Post by **Gennadiy** » 08 Apr 2004 05:22

q_q4138 wrote:Привет всем,

Делаю веб проект в VS, VB. По разным причинам сложно выносить connection strings в web.config, они остаются в code behind. Насколько я рискую в плане security? Мнения хакеров приветствуются .

Абсолютно ничего не понятно. Connection string к чему? К базе данных?
Как ищется соответствие пользователя веба и базы данных? Какая модель web authontication используется? А какая web authorization?
В теории - внешние юзеры при правильной защите веб сервера добратся до code behind не могут. Ведь на клиент передается голый HTML (точнее HTTP headers тоже есть - вот тут могут быть дыры, но они с code behind не связаны обычно).

Aden · Post by **Aden** » 08 Apr 2004 06:31

В общем случае, ConnectionString будет более "safe" как раз в "code behind", поскольку .vb файлы компилируются в DLL и не лежат в чистом виде на веб-сервере (непонятно только, Вы что, при каждом изменении парамeтров соединения с БД будете перекомпилировать проект?). А так, используйте CryptoAPI http://msdn.microsoft.com/library/defau ... portal.asp

Bobo · Post by **Bobo** » 08 Apr 2004 16:06

Aden wrote:В общем случае, ConnectionString будет более "safe" как раз в "code behind"

В обшем случае нет никакой разницы.
Поскольку ни *.dll ни *.config веб сервер не отдаст.
Если же хакер получил доступ к файлам, минуя веб сервер, то тоже нет никакой разницы, т.к. в обшем случае dll декомпилируется.
Шифруйте TripleDESом, если боитесь.
Или используйте dotfuscator какой-нибудь

Stick · Post by **Stick** » 08 Apr 2004 18:25

Bobo wrote:
Aden wrote:В общем случае, ConnectionString будет более "safe" как раз в "code behind"

В обшем случае нет никакой разницы.
Поскольку ни *.dll ни *.config веб сервер не отдаст.
Если же хакер получил доступ к файлам, минуя веб сервер, то тоже нет никакой разницы, т.к. в обшем случае dll декомпилируется.
Шифруйте TripleDESом, если боитесь.
Или используйте dotfuscator какой-нибудь

Dllку компилируйте с "сильным именем". :mrgreen:

Она будет надёжно заинкриптaна. Strong name compilation. И ни каких проблем. :lol:

Bobo · Post by **Bobo** » 08 Apr 2004 20:51

Stick wrote:Dllку компилируйте с "сильным именем". Она будет надёжно заинкриптaна. Strong name compilation. И ни каких проблем.

Нет.
Или вы так шутите?

q_q4138 · Post by **q_q4138** » 09 Apr 2004 01:14

Спасибо.

Stick · Post by **Stick** » 09 Apr 2004 17:46

Bobo wrote:Нет.
Или вы так шутите?

Нет.
Я не шучу. Это серьёзный раздел и я понимаю это. А strong name компиляция - обычное дело и очень эффективный метод предотвращения декомпиляции ваших исходников.

Falcon · Post by **Falcon** » 09 Apr 2004 17:54

Stick wrote:
Bobo wrote:Нет.
Или вы так шутите?

Нет.
Я не шучу. Это серьёзный раздел и я понимаю это. А strong name компиляция - обычное дело и очень эффективный метод предотвращения декомпиляции ваших исходников.

Вы натурально бредите.

Strong name может дать только имитозащиту но не предотвратить декомпиляцию. За скромных $5 я вам декомпилирую любую strong name assembly. :mrgreen:

blanko27 · Post by **blanko27** » 09 Apr 2004 18:36

Falcon wrote:...За скромных $5 я вам декомпилирую любую strong name assembly.

Давайте, я вам декомпилирую за $4.95

Stick · Post by **Stick** » 09 Apr 2004 20:39

Да, ладно вам. Присылайте мне свои дллки - раскрою за так, за бесплатно. Пришлось покапаться в гуголе и найти как это делается. Хакеру хакерово. :mrgreen:

Может кто знает как .NET assemblies теперь защищать?

blanko27 · Post by **blanko27** » 10 Apr 2004 14:13

Примените какой-либо обфускатор. Я как-то, около месяця-двух назад, поднимал вопрос об выборе обфускатора, но никто ничего не порекомендовал. :pain1:

Stick · Post by **Stick** » 10 Apr 2004 23:00

blanko27 wrote:Примените какой-либо обфускатор. Я как-то, около месяця-двух назад, поднимал вопрос об выборе обфускатора, но никто ничего не порекомендовал.

Спасибо Вам за подсказку! Очень благодарен!
После недолгого шАпанья решил выкупить себе вот такой обфускатор:
[url=http://www.9rays.net/cgi-bin/components.cgi?act=1&cid=86]Spices.Obfuscator.Net [Console Only] Spices.Obfuscator.Net Console 62.95$
[/url] Недорого и мне нужен только консольный вариант.

IA72 · Post by **IA72** » 10 Apr 2004 23:36

Stick wrote:
blanko27 wrote:Примените какой-либо обфускатор. Я как-то, около месяця-двух назад, поднимал вопрос об выборе обфускатора, но никто ничего не порекомендовал.

Спасибо Вам за подсказку! Очень благодарен!
После недолгого шАпанья решил выкупить себе вот такой обфускатор:
[url=http://www.9rays.net/cgi-bin/components.cgi?act=1&cid=86]Spices.Obfuscator.Net [Console Only] Spices.Obfuscator.Net Console 62.95$
[/url] Недорого и мне нужен только консольный вариант.

Практически никакого проку от обфускаторов нет. Да и собственно - зачем вообще нужно прятать код - у вас особо секретные алгоритмы применяются? Тогда запатентуйте. А иначе в чем смысл? Да и баги внесенные могут появится, а морока с отложенным подписанием при наличие нескольких библиотек способна свести с ума при автоматизированной компиляции. Не надо это вам.

blanko27 · Post by **blanko27** » 11 Apr 2004 00:38

IA72 wrote:... баги внесенные могут появится ... Не надо это вам.

Вот и я в сомнении, хотя не против был бы получить какую-нибудь инфу о хороших коммерческих обфускаторах. Для конторы хотелось бы что-нибудь приличное прикупить.

Security веб проекта на .NET

Security веб проекта на .NET

Re: Security веб проекта на .NET