گفتگو: بررسی ذخیره کانکشن استرینگ در فلش tiny از نظر امنیت [بایگانی]

mz6488

چهارشنبه 18 تیر 1393, 13:09 عصر

سلام.من برای قفل نرم افزار از فلش tiny استفاده کردم.طبق سفارش شرکت بهتره که داده های حساس مثل کانکشن استرینگ رو تو فلش ذخیره کرد .چون اگه هکر بتونه کاری کنه نرم افزار بدون فلش کار کنه باز هم بدون کانکشن استرینگ نمیتونه کاری کنه.نظر دوستان در این مورد چیه؟هکر میتونه بیاد چند خط دستور رو خودش اضاقه کنه؟

erfan_urchin

چهارشنبه 18 تیر 1393, 14:25 عصر

سلام. فکر نکنم هکر بتونه تو کدهای برنامه دست ببره. در واقع مسئولین شرکت (که فکر کنم شرکت منشور سیمین هستش) درست گفتن. بهتره تو کانکشن رو تو فلش ذخیره کنید. البته فکر نکنم کار خیلی ساده ای باشه :لبخند:

plus

چهارشنبه 18 تیر 1393, 14:32 عصر

خوب گذاشتنش از نگذاشتنش بهتر هست ولی Connection String داده ای نیست که نشه ساختش. برای مثال داده هایی که نمیشه به راحتی جایگزین کرد، دستورات SQL ی هست که شما نوشتین...
در مورد اینکه Cracker میتونه دستور اضافه کنه یا نه هم قطعا اگه کاربلد باشه براش کار سختی نخواهد بود.البته، در جلوگیری از Crack ایده این نیست که چیزی بسازین که Crack نشه، ایده اینه Crack شدن رو سخت کنه.

mz6488

چهارشنبه 18 تیر 1393, 18:08 عصر

[QUOTE=erfan_urchin;2057945 البته فکر نکنم کار خیلی ساده ای باشه :لبخند:[/QUOTE]
اتفاقا کار خیلی ساده ایه

mz6488

چهارشنبه 18 تیر 1393, 18:58 عصر

خوب گذاشتنش از نگذاشتنش بهتر هست ولی Connection String داده ای نیست که نشه ساختش. برای مثال داده هایی که نمیشه به راحتی جایگزین کرد، دستورات SQL ی هست که شما نوشتین...
در مورد اینکه Cracker میتونه دستور اضافه کنه یا نه هم قطعا اگه کاربلد باشه براش کار سختی نخواهد بود.البته، در جلوگیری از Crack ایده این نیست که چیزی بسازین که Crack نشه، ایده اینه Crack شدن رو سخت کنه.
کانکشن استرینگ رو که باید از طریق کلاس مقدار دهی کرد.یعنی هکر میتونه خودش با اسمبلی دستورش رو بنویسه؟

plus

چهارشنبه 18 تیر 1393, 20:10 عصر

کانکشن استرینگ رو که باید از طریق کلاس مقدار دهی کرد.یعنی هکر میتونه خودش با اسمبلی دستورش رو بنویسه؟
من در مورد کرک IL (زبان های دات نتی) زیاد نمیدونم ولی توی زبان های Native، کرکر میتونه به سادگی یک یا چند دستور رو حذف یا ویرایش کنه یا هرجا که میخواد اضافه کنه.احتمالا برای IL همینطور یا حتی راحت تر هست.

pesare

چهارشنبه 18 تیر 1393, 21:30 عصر

شما نیازی نیست کل کانکشن استرینگ رو داخل قفل ذخیره کنی , فقط پسورد بانک رو داخل قفل ذخیره کن

mz6488

چهارشنبه 18 تیر 1393, 21:51 عصر

شما نیازی نیست کل کانکشن استرینگ رو داخل قفل ذخیره کنی , فقط پسورد بانک رو داخل قفل ذخیره کن
با ذخیره ش مشکلی ندارم.تونستم کل استرینگ رو ذخیره کنم.بحثتم بیشتر روی اضافه کردن کد بود.بعدش پسورد sql رو نمیشه هک کرد؟

pesare

چهارشنبه 18 تیر 1393, 22:20 عصر

تا زمانی که قفل شکسته نشه پیورد رو نمیشه بدست اورد دیگه

mz6488

چهارشنبه 18 تیر 1393, 22:28 عصر

تا زمانی که قفل شکسته نشه پیورد رو نمیشه بدست اورد دیگه
نه منظورم این که دیتابیس sql رو که هکر داره میتونه از طریق خود دیتابیس پسوردش رو بدست بیاره؟

plus

پنج شنبه 19 تیر 1393, 12:00 عصر

نه منظورم این که دیتابیس sql رو که هکر داره میتونه از طریق خود دیتابیس پسوردش رو بدست بیاره؟
پسورد SQL Server هم چیزی نیست که زیاد بتونید روش حساب کنید...یک کرکر با Monitor کردن ارتباط برنامه با دیتابیس به راحتی میتونه پسورد رو بدست بیاره...
البته هر کاری بکنید بالاخره راهی واسه کرک هست اما همونطور که گفتم اگه میخواین کارو سخت کنید باید بخشهایی از نرم افزار رو وابسته به قفل بکنید که کار ساده ای هم نیست...