Безопасное использование API веб-сайта

@mraklbrw · Регистрация: 01.04.2017

Студворк — интернет-сервис помощи студентам

Добрый день.
Есть веб-сайт, у него есть API.
В приложении необходимо реализовать получение токена пользователя и его использование в дальнейших запросах (по логину и паролю пользователя).
Возникло несколько вопросов:
1. Использование введённых пользователем значений из texBox (логин) и passwordBox (пароль) для получения токена, установка значений этих полей "", после чего вызов сборщика мусора - достаточно для надёжного удаления логина и пароля из оперативной памяти, выделенной приложению?
2. Хранение в памяти приложения токена пользователя в открытом виде - есть ли альтернативы?
3. Возможно ли попадание логина/пароля/токена в файл подкачки при нехватке оперативной памяти в момент выполнения приложения?

@Storm23 · 24.06.2019, 22:10

mraklbrw,
Используйте SecureString. Это максимум, что может предоставить вам .NET.

@Usaga · 26.06.2019, 07:57

Сообщение от mraklbrw

2. Хранение в памяти приложения токена пользователя в открытом виде - есть ли альтернативы?

Если сервер к токену привязывает IP адрес, то париться этим моментом не стоит. Так ли это, вы можете проверить самостоятельно.

Сообщение от mraklbrw

1. Использование введённых пользователем значений из texBox (логин) и passwordBox (пароль) для получения токена, установка значений этих полей "", после чего вызов сборщика мусора - достаточно для надёжного удаления логина и пароля из оперативной памяти, выделенной приложению?

Сообщение от mraklbrw

3. Возможно ли попадание логина/пароля/токена в файл подкачки при нехватке оперативной памяти в момент выполнения приложения?

Если паранойя до такой степени зашкаливает, то рекомендую реализовать свои контролы для ввода логина и пароля, которые СРАЗУ будут хранить вводимые данные в SecurityString или ином безопасном виде, без промежуточной строки.

Но учтите, что всё это полное фуфло, если общение с сервером идёт не по HTTPS. Кто сможет залезть в ОЗУ чтобы поискать там логин и пароль, тому хватит ума и трафик перехватить, где в запросе на авторизацию реквезиты будут как на блюдечке.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .

@mraklbrw 102 / 86 / 17 Регистрация: 01.04.2017 Сообщений: 796

	Безопасное использование API веб-сайта 24.06.2019, 19:30. Показов 1946. Ответов 2 Метки нет (Все метки) Добрый день. Есть веб-сайт, у него есть API. В приложении необходимо реализовать получение токена пользователя и его использование в дальнейших запросах (по логину и паролю пользователя). Возникло несколько вопросов: 1. Использование введённых пользователем значений из texBox (логин) и passwordBox (пароль) для получения токена, установка значений этих полей "", после чего вызов сборщика мусора - достаточно для надёжного удаления логина и пароля из оперативной памяти, выделенной приложению? 2. Хранение в памяти приложения токена пользователя в открытом виде - есть ли альтернативы? 3. Возможно ли попадание логина/пароля/токена в файл подкачки при нехватке оперативной памяти в момент выполнения приложения? 0

@Storm23 10427 / 5157 / 1825 Регистрация: 11.01.2015 Сообщений: 6,226 Записей в блоге: 34
	24.06.2019, 22:10
	mraklbrw, Используйте SecureString. Это максимум, что может предоставить вам .NET. 1