سلام
من در یک پروژه از توکن سخت افزاری استفاده کردم و کلید رمزنگاری جهت بازگشائی رمز را از درون قفل خواندم اینطوری هر کس که یک قفل معتبر داشته باشد ConnectionString را خواهد داشت (موقع درست کردن کانکشن از کلید درون توکن Encrypt کردم روش رمزنگاری هم شخصی بود و برای فایل رمزنگاری هم CheckSum گذاشتم)
1. استفاده از قفل سخت افزاری یه سری نکات داره که از Guide های قفل/تجربه به دست میاد و باید رعایت بشهنوشته شده توسط ASKaffash
2. از قفل سخت افزاری که Emulator ش موجوده نباید استفاده کرد که تعداد انگشت شماری از اونها اینطور هستند
3. استفاده از روش رمز نگاری شخصی نشون میده که اصول پایه امنیت رو رعایت نکردین. رمزنگاری شخصی تو این دوره زمونه معنی نداره ضمن اینکه متنی که نوشتین خیلی واضح نیست، اگر درست متوجه شده باشم و منظورتون واقعا همون ConnectionString دیتابیس باشه که هیچ ... !!!
* تجربه من به شخصه و خیلی از دوستانی که با این ها سر و کله زدن نشون میده استفاده نکردن ازشون بهتر از استفاده کردنشونه. درسته که بستگی به سناریو و نهوه استفاده داره ولی به شخصه پیاده سازی امنیت برنامه به صورت نرم افزاری رو ترجیح میدم به قفل سخت افزاری و اگر اصرار به استفاده از این قفل ها باشه باید جزء کوچیکی از مکانزیم های امنیتی باشن نه پایه و شالوده امنیت برنامه.
* اکثر اوقات شنیدن اینکه فلان برنامه قفل سخت افزاری داره برای کرکرها خبر خوشایندی هست :))
سلام
فکر کنم دقیق کلا پست ها را مطالعه نکردید کل هدف این است که سورس کامل در اختیار نفوذ اگر است و حتی الگوریتم رمزنگاری (به هر طریقی بدست آورده) انوقت روش نرم افزاری اشتباه مطلق است ولی روش استفاده از توکن (من از کیا استفاده کردم) فقط کلید رمزنگاری را برای رسیدن به ConnectionString شامل می شود حالا چطوری کلید لو میرود ؟
سلام
به نظر شما و دیگر دوستان قفل های شرکت پیام پرداز مطمئن ترین هستند؟ جز پیام پرداز چه شرکت دیگه ای خوب هست؟
ممنونم
کلیدها... من همچنان این مشکل رو دارم و هنوز به نتیجه ی درستی نرسیدم.
یک رشته رو رمز کردیم. نیاز داریم که رمزگشایی کنیم، طبیعتاً باید رمزنگاری دو طرفه استفاده کنیم، کلید رو کجا باید بذاریم؟؟
واقعاً من اساساً گیر کردم. بعضی از دوستان میگن کلید رو هم رمز کنید، خب اون رشته کلید رمز شده هم واسه خودش یک کلیدی داره.
چه باید کرد؟؟
قوانین ایجاد تاپیک در تالار
پاسخ با نقل قول