چطوری با اینکه سورس کامل برنامه در دست باشد کلمات عبور قابل نفوذ نباشد

[alireza_tavakol]

این تاپیک به عنوان اولین نتیجه گیری علمی از تاپیک غیر علمی ... می باشد

طرح سوال :

من یه برنامه Open Source دارم ( سرس کامل برنامه اعم از فایل EXE و DLL و کلیه اجزا برنامه ام با سرس کامل ارائه شده ).

داخل اون برنامه قراره با پایگاه داده ارتباط برقرار کنم .

به نظر شما من باید کجا و به چه فرمی رشته اتصال پایگاه داده هام رو ذخیره کنم تا هیچ نفوذگر نتواند به اطلاعات ذخیره شده در بانک من دسترسی پیدا کند ؟


با تشکر از دوستان پاسخ دهند

[linux]

این تاپیک به عنوان اولین نتیجه گیری علمی از تاپیک غیر علمی ... می باشد

طرح سوال :

من یه برنامه Open Source دارم ( سرس کامل برنامه اعم از فایل EXE و DLL و کلیه اجزا برنامه ام با سرس کامل ارائه شده ).
داخل اون برنامه قراره با پایگاه داده ارتباط برقرار کنم .
به نظر شما من باید کجا و به چه فرمی رشته اتصال پایگاه داده هام رو ذخیره کنم تا هیچ نفوذگر نتواند به اطلاعات ذخیره شده در بانک من دسترسی پیدا کند ؟
با تشکر از دوستان پاسخ دهند

در 1001 مثالی که اولین پست این تالار هست وجود داره بگردید پیدا می کنید.

[alireza_tavakol]

در 1001 مثالی که اولین پست این تالار هست وجود داره بگردید پیدا می کنید.

من توی تاپیک 1001 نکته در سی شارپ جستجو کردم ولی چیزی پیدا نکردم

لطفا چند تا کلید واژه واسه جستجو بهم معرفی کنید

[اَرژنگ]

http://msdn.microsoft.com/en-us/library/bb655884.aspx
http://msdn.microsoft.com/en-us/library/bb655891.aspx

[alireza_tavakol]

http://msdn.microsoft.com/en-us/library/bb655884.aspx
http://msdn.microsoft.com/en-us/library/bb655891.aspx

با سلام و تشکر من لیکی رو که داده بودید کامل مطالعه کردم ولی اون چیزی نبود که من انتظار داشتم !

در روش گفته شده رشته اتصال در فایل app.config ذخیره میشه و هیچ امنیت وافری دیده نمیشه

پس هر کسی source برنامه من رو ببینه می تونه رمز پایگاه داده من رو هم ببینه

[اَرژنگ]

با سلام و تشکر من لیکی رو که داده بودید کامل مطالعه کردم ولی اون چیزی نبود که من انتظار داشتم !

در روش گفته شده رشته اتصال در فایل app.config ذخیره میشه و هیچ امنیت وافری دیده نمیشه

پس هر کسی source برنامه من رو ببینه می تونه رمز پایگاه داده من رو هم ببینه

برایه اتصال به داتابیس از رمز استفداه نمیشه، از تراستد کانکشن استفاده میشه:

Trusted Connection

Data Source=myServerAddress;Initial Catalog=myDataBase;Integrated Security=SSPI;

هیچ کسی رمزی را در سورس کد نمیگذاره (چه دات.نت و غیره دات نت).
در ضمن، البته با روشی که خودتان استفاده میکنید نتیجه گیریتان درست است، ولی ربطی به روشهایه استاندارد برنامه نویسی ندارد .

[linux]

من توی تاپیک 1001 نکته در سی شارپ جستجو کردم ولی چیزی پیدا نکردم

لطفا چند تا کلید واژه واسه جستجو بهم معرفی کنید

خوب نگشتی!
https://barnamenevis.org/showpo...1&postcount=29
https://barnamenevis.org/showpo...2&postcount=30

[alireza_tavakol]

خوب نگشتی!
https://barnamenevis.org/showpo...1&postcount=29
https://barnamenevis.org/showpo...2&postcount=30

با تشکر از حسن توجه شما دوست عزیز ( linux )

راستشو بخواهید من این دو تا پست رو قبلا" دیده بودم ولی اصلا" نفهمیدم چطوری و چگونه باید از Encrypt و Decrypt استفاده کنم تا کسی نفهمه رشته اتصال چی بوده

منظورم اینکه اگه فرضا" با این روش گفته شده رشته اتصال رو Encrypt کنم و توی app.config ذخیره کنم و در جای دیگه برنامه با این روش گفته شده Decrypt کنم تا رشته اتصال از حالت رمز خارج بشه امنیت حفظ نمیشه ، چون سورس برنامه به صورت open در اختیال همگان قرار داره افراد نفوذگر به راحتی با همون الگوریتمی که من Decrypt کرده ام محتویات app.config رو رمز گشایی میکنن و به رشته اتصال پی میبرند

[alireza_tavakol]

برایه اتصال به داتابیس از رمز استفداه نمیشه، از تراستد کانکشن استفاده میشه:

Trusted Connection

Data Source=myServerAddress;Initial Catalog=myDataBase;Integrated Security=SSPI;

با سلام و تشکر

لطفا" در رابطه با تراستد کانکشن توضیح دهید ، یعنی با این رشته اتصال چطوری هویت کسی که قرار به server متصل بشه احراز میشه

[alireza_tavakol]

من همچنان نیاز مند یاری سبزتان هستم

با تشکر

[اَرژنگ]

من همچنان نیاز مند یاری سبزتان هستم

با تشکر

Connect to SQL Server Using Windows Authentication
http://msdn.microsoft.com/en-us/library/ms998292.aspx

[alireza_tavakol]

با تشکر از پاسخ شما

ولی این لینکی که داده بودین برای متصل شدن به SLQ Server بود با این شرط که سرور من با حالت Windows Authentication تنظیم شده باشه ، در صورتی که سرور و پایگاه داده من در حالت SQL Server Authentication تنظیم شده است

[اَرژنگ]

با تشکر از پاسخ شما

ولی این لینکی که داده بودین برای متصل شدن به SLQ Server بود با این شرط که سرور من با حالت Windows Authentication تنظیم شده باشه ، در صورتی که سرور و پایگاه داده من در حالت SQL Server Authentication تنظیم شده است

این روش قدیمی است که دیگر ازش استافده نمیشه.
مایکروسافت این را فقط برایه پشتیبانی از روشهایه قدیمی ورنداشته ولی دیگر کسی از روش SQL Server Authentication استفاده نمیکند.

[alireza_tavakol]

این روش قدیمی است که دیگر ازش استافده نمیشه.
مایکروسافت این را فقط برایه پشتیبانی از روشهایه قدیمی ورنداشته ولی دیگر کسی از روش SQL Server Authentication استفاده نمیکند.

پس امنیت SQL توی شبکه محلی چه طوری حفظ میشه؟

[اَرژنگ]

پس امنیت SQL توی شبکه محلی چه طوری حفظ میشه؟

با استفاده از Windows Authentication.
روش درست استفاده از Windows Authentication است. چرا از Windows Authentication استفاده نمیکنید؟

[alireza_tavakol]

با استفاده از Windows Authentication.
روش درست استفاده از Windows Authentication است. چرا از Windows Authentication استفاده نمیکنید؟

من به صورت حرفه ای با SQL Server کار نکردم ولی تا انجایی که اطلاع دارم

وقتی من نرم افزار SQL server رو نصب میکنم ازم می پرسه ، سرور در حالت SQL Server Authentication یا Windows Authentication قرار بگیره

حالا اگه من از گزینه Windows Authentication استفاده کنم به این معنی هستش که هر کاربری که توانست توسط پنجره user login سیستم عامل ویندوز به این کامپوتر متصل بشه(سرور پایگاه داده) ،به console نرم افزار Microsofte SQL Server یعنی همان Enterprise Manager هم متصل بشه و در نهایت به تمام پایگاه داده های موجود در اون سیستم دسترسی داشته باشه با بالا ترین سطح دسترسی Admin

ولی اگه من گزینه SQL Server Authentication رو انتخاب کنم خود نرم افزار SQL Server مامور حفظ امنیت خودش خواهد شد به شکلی که قابلیت تعریف کاربران متفاوت رو پیدا خواهد کرد ( یعنی مثلا" یک کاربر مخصوص پشتیبان گیرای از پایگاه داده ها میشه یک کاربر دیگه فقط می تواند پایگاه داده جدید تعریف کنه و ...)

حالا اگه من از گزینه Windows Authentication رو انتخاب کنم network administrator قابلیت های DBMS Admin رو هم داره و این یعنی کاهش امنیت داده ها در بانک
__________________________________________________ _
چون بحث در رابطه با رشته اتصال امن مطرح شده امید وارم این توضیحات اف تاپیک حساب نشه

[اَرژنگ]

من به صورت حرفه ای با SQL Server کار نکردم ولی تا انجایی که اطلاع دارم

وقتی من نرم افزار SQL server رو نصب میکنم ازم می پرسه ، سرور در حالت SQL Server Authentication یا Windows Authentication قرار بگیره

حالا اگه من از گزینه Windows Authentication استفاده کنم به این معنی هستش که هر کاربری که توانست توسط پنجره user login سیستم عامل ویندوز به این کامپوتر متصل بشه(سرور پایگاه داده) ،به console نرم افزار Microsofte SQL Server یعنی همان Enterprise Manager هم متصل بشه و در نهایت به تمام پایگاه داده های موجود در اون سیستم دسترسی داشته باشه با بالا ترین سطح دسترسی Admin

ولی اگه من گزینه SQL Server Authentication رو انتخاب کنم خود نرم افزار SQL Server مامور حفظ امنیت خودش خواهد شد به شکلی که قابلیت تعریف کاربران متفاوت رو پیدا خواهد کرد ( یعنی مثلا" یک کاربر مخصوص پشتیبان گیرای از پایگاه داده ها میشه یک کاربر دیگه فقط می تواند پایگاه داده جدید تعریف کنه و ...)

حالا اگه من از گزینه Windows Authentication رو انتخاب کنم network administrator قابلیت های DBMS Admin رو هم داره و این یعنی کاهش امنیت داده ها در بانک
__________________________________________________ _
چون بحث در رابطه با رشته اتصال امن مطرح شده امید وارم این توضیحات اف تاپیک حساب نشه

اطلاعاتتان درست نیست، نتیجه گیریهایی که دارید اصل ندارد، در مورد کار با Windows Authentication مطالعه کنید.