Безопасное использование API веб-сайта

@mraklbrw · Регистрация: 01.04.2017

Студворк — интернет-сервис помощи студентам

Добрый день.
Есть веб-сайт, у него есть API.
В приложении необходимо реализовать получение токена пользователя и его использование в дальнейших запросах (по логину и паролю пользователя).
Возникло несколько вопросов:
1. Использование введённых пользователем значений из texBox (логин) и passwordBox (пароль) для получения токена, установка значений этих полей "", после чего вызов сборщика мусора - достаточно для надёжного удаления логина и пароля из оперативной памяти, выделенной приложению?
2. Хранение в памяти приложения токена пользователя в открытом виде - есть ли альтернативы?
3. Возможно ли попадание логина/пароля/токена в файл подкачки при нехватке оперативной памяти в момент выполнения приложения?

@Storm23 · 24.06.2019, 22:10

mraklbrw,
Используйте SecureString. Это максимум, что может предоставить вам .NET.

@Usaga · 26.06.2019, 07:57

Сообщение от mraklbrw

2. Хранение в памяти приложения токена пользователя в открытом виде - есть ли альтернативы?

Если сервер к токену привязывает IP адрес, то париться этим моментом не стоит. Так ли это, вы можете проверить самостоятельно.

Сообщение от mraklbrw

1. Использование введённых пользователем значений из texBox (логин) и passwordBox (пароль) для получения токена, установка значений этих полей "", после чего вызов сборщика мусора - достаточно для надёжного удаления логина и пароля из оперативной памяти, выделенной приложению?

Сообщение от mraklbrw

3. Возможно ли попадание логина/пароля/токена в файл подкачки при нехватке оперативной памяти в момент выполнения приложения?

Если паранойя до такой степени зашкаливает, то рекомендую реализовать свои контролы для ввода логина и пароля, которые СРАЗУ будут хранить вводимые данные в SecurityString или ином безопасном виде, без промежуточной строки.

Но учтите, что всё это полное фуфло, если общение с сервером идёт не по HTTPS. Кто сможет залезть в ОЗУ чтобы поискать там логин и пароль, тому хватит ума и трафик перехватить, где в запросе на авторизацию реквезиты будут как на блюдечке.

Новые блоги и статьи Все статьи Все блоги /
Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .
Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .

@mraklbrw 102 / 86 / 17 Регистрация: 01.04.2017 Сообщений: 795

	Безопасное использование API веб-сайта 24.06.2019, 19:30. Показов 1928. Ответов 2 Метки нет (Все метки) Добрый день. Есть веб-сайт, у него есть API. В приложении необходимо реализовать получение токена пользователя и его использование в дальнейших запросах (по логину и паролю пользователя). Возникло несколько вопросов: 1. Использование введённых пользователем значений из texBox (логин) и passwordBox (пароль) для получения токена, установка значений этих полей "", после чего вызов сборщика мусора - достаточно для надёжного удаления логина и пароля из оперативной памяти, выделенной приложению? 2. Хранение в памяти приложения токена пользователя в открытом виде - есть ли альтернативы? 3. Возможно ли попадание логина/пароля/токена в файл подкачки при нехватке оперативной памяти в момент выполнения приложения? 0

@Storm23 10425 / 5155 / 1825 Регистрация: 11.01.2015 Сообщений: 6,226 Записей в блоге: 34
	24.06.2019, 22:10
	mraklbrw, Используйте SecureString. Это максимум, что может предоставить вам .NET. 1