Безопасное использование строки подключения

@_katon_ · Регистрация: 03.10.2011

Студворк — интернет-сервис помощи студентам

Всем привет!

Пытаюсь определить уязвимые места при использовании типизированного датасета, а в частности строки подключения, которая в явном виде хранится в Settings проекта.

Пока использование типизированного носило чисто учебный характер, можно было особо не парится о хранении строки подключения (в явном виде? Ну и пофиг!).

Однако наступает момент, когда хотелось бы разобраться с защитой строки соединения!

Соответственно, чтобы закрыть вопрос нужно:
а) знать каким образом (или образами) можно выполнять автоматическую подмену строки соединения.
б) знать где и каким образом можно посмотреть строку подключения в явном виде и, соответственно, прикрыть лавочку.

Попытка решить задачу дала следующие результаты:
а)
Как я уже говорил при добавлении датасета в проект автоматически добавляется файл с настройками проекта, в котором в явном виде хранится строка подключения. Кроме этого создается файл "App.config", который содержит те же сведения о настройках подключения.

Если посмотреть в исходный (автоматически сгенерированный) код, то можно увидеть каким образом происходит инициализация строки подключения:

C#
1
this._connection.ConnectionString = global::AttachFile.Properties.Settings.Default.DBNameConnectionString;

Исходя из приведенного выше кода делаю вывод, что управляя "DBNameConnectionString" я буду управлять подключениями)). Что делаю? Удаляю app.config считая его не нужным и даже вредным (ведь пороли шифровать в нем я не умею!)) ). Затем в момент инициализации приложения я вывожу диалог, в котором пользователь указывает Сервер, БД, Юзера и Пороль. После нажатия кнопки "OK" система формирует необходимую строку подключения и запихивает ее в качестве дефаултной настройки следующим методом.

C#
1
2
3
4
5
6
7
        private void SetDefaultConnectionString()
        {           
            Properties.Settings.Default["DBNameConnectionString"] = "Data Source=" + DataSource +
                ";Initial Catalog=" + InitialCatalog +
                ";Persist Security Info=True;User ID=USER;Password=123467";
            Properties.Settings.Default.Save();
        }

где InitialCatalog, DataSource это строковые переменные с названиями БД и Сервера БД соответственно.

Честно говоря не думал, что это сработает. Но динамическая "подмена" строки подключения таким образом позволила мне подключится к различным БД и просматривать данные в таблицах в моем приложении без использования каких либо дополнительных файлов с настройками.

б)

Имеют место вопросы! Можно-ли при описанном выше подходе в явном виде или используя какие-то алгоритмы получить мою строку подключения? Почему я смог изменить настройку "DBNameConnectionString" ("Scope" установлено в "Application")?

@andrew_w2k · 27.10.2012, 00:10

я так понимаю, что Вы работаете с толстым клиентом, хранящим все настройки на своей стороне. Посмотрите в сторону трехзвенной архитектуры организации приложений, работающих с бд. Допустим, храните настройки подключения на сервере приложений. Или ещё вариант можно придумать алгоритм дешифрования строки подключения, хранящейся в конфигах в неявном виде.

@_katon_ · 27.10.2012, 00:41 **[ТС]**

Да! клиентская часть достаточно "тяжелая"! Но я к сожалению "заложник" ситуации и не могу увеличивать количество уровней в архитектуре. Клиент в моей реализации, будет в любом случае "толстым".
Не совсем понимаю, что вы имеете в виду говоря об алгоритмах дешифрирования? Предлагаете шифровать строку подключения?

@XIST · 28.10.2012, 23:53

Есть провайдеры шифрования ProtectedConfigurationProvider
http://msdn2.microsoft.com/en-... S.80).aspx
и его дочерние классы RSAProtectedConfigurationProvider и DpapiProtectedConfigurationProvider
Позволяют шифровать и расшифровывать секции конфиг-файлов.

Но по мне, байда полная, так и не смог я нормально с этим разобраться...

Новые блоги и статьи Все статьи Все блоги /
Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит токи на L и напряжения на C в установ. режимах до и. . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/
WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114

@andrew_w2k 341 / 341 / 90 Регистрация: 04.03.2010 Сообщений: 648
	27.10.2012, 00:10
	я так понимаю, что Вы работаете с толстым клиентом, хранящим все настройки на своей стороне. Посмотрите в сторону трехзвенной архитектуры организации приложений, работающих с бд. Допустим, храните настройки подключения на сервере приложений. Или ещё вариант можно придумать алгоритм дешифрования строки подключения, хранящейся в конфигах в неявном виде. 0

@_katon_ 414 / 265 / 25 Регистрация: 03.10.2011 Сообщений: 1,094
	27.10.2012, 00:41 [ТС]
	Да! клиентская часть достаточно "тяжелая"! Но я к сожалению "заложник" ситуации и не могу увеличивать количество уровней в архитектуре. Клиент в моей реализации, будет в любом случае "толстым". Не совсем понимаю, что вы имеете в виду говоря об алгоритмах дешифрирования? Предлагаете шифровать строку подключения? 0

@XIST 1960 / 1070 / 148 Регистрация: 01.10.2009 Сообщений: 3,590 Записей в блоге: 1
	28.10.2012, 23:53
	Есть провайдеры шифрования ProtectedConfigurationProvider http://msdn2.microsoft.com/en-... S.80).aspx и его дочерние классы RSAProtectedConfigurationProvider и DpapiProtectedConfigurationProvider Позволяют шифровать и расшифровывать секции конфиг-файлов. Но по мне, байда полная, так и не смог я нормально с этим разобраться... 0