Безопасность приложения c#+.net

@Destroy2 · Регистрация: 13.06.2011

Студворк — интернет-сервис помощи студентам

На сколько безопасно приложение на нет с точки зрения открытости кода. Сложно ли декомпилить программу и украсть к примеру пароль подключения к удаленной базе данных?

@WonderFlik · 09.08.2011, 09:56

не сложно, полностью защитить приложение установленное локально нельзя можно усложнить восприятие декомпилированной сборки... но пароли etc внутри сборки точно хранить нельзя

@Destroy2 · 09.08.2011, 11:43 **[ТС]**

А как их тогда хранить? Как программу клиент подключать к базе?

@WonderFlik · 09.08.2011, 12:00

ну у баз есть своя авторизация)
а так ну где нибудь на сервере)

@Destroy2 · 09.08.2011, 12:00 **[ТС]**

я не хочу прослойку писать, хочу на прямую работать

@Casper-SC · 09.08.2011, 20:04

Я тоже задавал тут подобный вопрос. И тоже мне надо как-то спрятать хотя бы пароль, который потом добавляется в строку подключения, только так и не решил окончательно что делать.

Если есть решение умнее, то пусть меня поправят. Я пока надумал так: хранишь пароль в виде массива например char, каждый символ (по сути число) уменьшаешь или увеличиваешь по какому-то алгоритму. Потом когда надо получаешь пароль в SecureString и при самом подключении конвертишь в строку. Прога обрабатывается .NET Reactor'ом. Вроде не супер мега защита, но не в открытую пароль должен лежать. Но это мысли, пока не пробовал осуществлять это. Ну ещё думал в C++ сборке хранить тоже как нибудь зашифрованный пароль и получать его из C# через экспорт функции (смутно на деле представляю), пока опираюсь на эту статью Интеграция Native кода в C# проект. Пробовал делать по статье, что-то нифига не получилось, если укто-то вдруг осилит, выложите проект, сюда. Надеюсь кому нибудь будет на деле интересно попробовать и поделится проектом для изучения исходников.

@somethingrotten · 09.08.2011, 20:23

Casper-SC, зависит от алгоритма, конечно, но вообще - если метод, по которому происходит увеличение/уменьшение, лежит в вашем коде - его точно так же увидят и обратят. Если, конечно, вы не воспользуетесь чем-то условно односторонним.

Вообще говоря, стандартное решение - хранить парольные хэши. Юзер вводит пароль - он хэшируется и сравнивается с сохраненным значением. Даже если вашу программу разберут рефлектором, все равно придется брутфорсить пароль - так что тут хоть под дотнет пишите, хоть на ассемблере - никакой разницы.

Другой вопрос, что хэши тоже хорошо бы не в строке прописывать - в отдельном файле, с шифрованием и защитой от копирования будет самое то)

Кстати, хранение пароля на сервере вдобавок еще и означает, что если кто-то разберет ваш код, он получит все пароли всех юзеров)

@Casper-SC · 09.08.2011, 21:08

Да нет, это пароль к локальной базе данных. Прога первый раз запустилась и при первом запуске создала базу данных SQL Compact Edition 3.5. Проект WPF + .NET 4 (только в 4-ом фрэймворке текст выглядит нормально, а не размыто и вообще полностью чёткое изображение, как в формах).

@Destroy2 · 10.08.2011, 00:11 **[ТС]**

я кстати говорю про пароль от удаленной базы данных с которой работает программа)) это ведь просто не допустимо чтобы кто то мог его узнать.

Новые блоги и статьи Все статьи Все блоги /
Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .	модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .
Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ	Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .	Горе от ума kumehtar 07.04.2026 Эта мне ментальная установка, что вот прямо сейчас, мол, мне для полного счастья не хватает (нужное вписать), и когда я этого достигну - тогда и полный кайф. Одна из самых сильных ловушек на пути. . . .	Использование значений реквизитов справочника в документе, с определенными условиями и правами Maks 07.04.2026 1. Контроль срока действия договора Алгоритм из решения ниже реализован на примере нетипового документа "ЗаявкаНаРаботу", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если. . .

@Destroy2 4 / 4 / 0 Регистрация: 13.06.2011 Сообщений: 61

	Безопасность приложения c#+.net 09.08.2011, 08:49. Показов 1724. Ответов 8 Метки нет (Все метки) На сколько безопасно приложение на нет с точки зрения открытости кода. Сложно ли декомпилить программу и украсть к примеру пароль подключения к удаленной базе данных? 0

@WonderFlik 208 / 138 / 15 Регистрация: 28.04.2011 Сообщений: 389
	09.08.2011, 09:56
	не сложно, полностью защитить приложение установленное локально нельзя можно усложнить восприятие декомпилированной сборки... но пароли etc внутри сборки точно хранить нельзя 0

@Destroy2 4 / 4 / 0 Регистрация: 13.06.2011 Сообщений: 61
	09.08.2011, 11:43 [ТС]
	А как их тогда хранить? Как программу клиент подключать к базе? 0

@WonderFlik 208 / 138 / 15 Регистрация: 28.04.2011 Сообщений: 389
	09.08.2011, 12:00
	ну у баз есть своя авторизация) а так ну где нибудь на сервере) 0

@Destroy2 4 / 4 / 0 Регистрация: 13.06.2011 Сообщений: 61
	09.08.2011, 12:00 [ТС]
	я не хочу прослойку писать, хочу на прямую работать 0

@Casper-SC 4434 / 2094 / 404 Регистрация: 27.03.2010 Сообщений: 5,657 Записей в блоге: 1
	09.08.2011, 20:04
	Я тоже задавал тут подобный вопрос. И тоже мне надо как-то спрятать хотя бы пароль, который потом добавляется в строку подключения, только так и не решил окончательно что делать. Если есть решение умнее, то пусть меня поправят. Я пока надумал так: хранишь пароль в виде массива например char, каждый символ (по сути число) уменьшаешь или увеличиваешь по какому-то алгоритму. Потом когда надо получаешь пароль в SecureString и при самом подключении конвертишь в строку. Прога обрабатывается .NET Reactor'ом. Вроде не супер мега защита, но не в открытую пароль должен лежать. Но это мысли, пока не пробовал осуществлять это. Ну ещё думал в C++ сборке хранить тоже как нибудь зашифрованный пароль и получать его из C# через экспорт функции (смутно на деле представляю), пока опираюсь на эту статью Интеграция Native кода в C# проект. Пробовал делать по статье, что-то нифига не получилось, если укто-то вдруг осилит, выложите проект, сюда. Надеюсь кому нибудь будет на деле интересно попробовать и поделится проектом для изучения исходников. 0

@somethingrotten 67 / 67 / 9 Регистрация: 18.04.2011 Сообщений: 124
	09.08.2011, 20:23
	Casper-SC, зависит от алгоритма, конечно, но вообще - если метод, по которому происходит увеличение/уменьшение, лежит в вашем коде - его точно так же увидят и обратят. Если, конечно, вы не воспользуетесь чем-то условно односторонним. Вообще говоря, стандартное решение - хранить парольные хэши. Юзер вводит пароль - он хэшируется и сравнивается с сохраненным значением. Даже если вашу программу разберут рефлектором, все равно придется брутфорсить пароль - так что тут хоть под дотнет пишите, хоть на ассемблере - никакой разницы. Другой вопрос, что хэши тоже хорошо бы не в строке прописывать - в отдельном файле, с шифрованием и защитой от копирования будет самое то) Кстати, хранение пароля на сервере вдобавок еще и означает, что если кто-то разберет ваш код, он получит все пароли всех юзеров) 0

@Casper-SC 4434 / 2094 / 404 Регистрация: 27.03.2010 Сообщений: 5,657 Записей в блоге: 1
	09.08.2011, 21:08
	Да нет, это пароль к локальной базе данных. Прога первый раз запустилась и при первом запуске создала базу данных SQL Compact Edition 3.5. Проект WPF + .NET 4 (только в 4-ом фрэймворке текст выглядит нормально, а не размыто и вообще полностью чёткое изображение, как в формах). 0

@Destroy2 4 / 4 / 0 Регистрация: 13.06.2011 Сообщений: 61
	10.08.2011, 00:11 [ТС]
	я кстати говорю про пароль от удаленной базы данных с которой работает программа)) это ведь просто не допустимо чтобы кто то мог его узнать. 0