Нужен совет об увеличении безопасности VB-шного приложения

@Alexey · Регистрация: 27.03.2012

Студворк — интернет-сервис помощи студентам

Нужен совет об увеличении безопасности VB-шного приложения, работающего с удаленной БД веб-сервера (Oracle). Смысл таков, что заказчик хочет как можно больше 'обезопасить', увеличить секретность работы программы, т.к. программа работает с БД реального сайта и если попадет, например, в руки врага, то тот сможет просто-напросто все 'покилить' на сервере... Какие шаги можно предпринять, пароль на запуск, инсталляцию, оракловское соединение (уже есть), где и как хранить пароли и т.д...? Кто-нибудь сталкивался с такими вещами, буду рад получить вразумительный ответ... Спасибо!

@ArtP · 15.03.2007, 13:53

Если не достаточно Оракловского пароля то можно использовать аутентификацию пользователя на клиенте (зашифрованный пароль хранить в регистре или ini файле) и/или веб сервере см. например статью http://www.relib.com/asp/files/asp.zip или используй для шифрования паролей Windows API:
GetPrivateProfileString Lib 'kernel32'
WritePrivateProfileString Lib 'kernel32'

@Alexey · 15.03.2007, 13:58

GetPrivateProfileString и WritePrivateProfileString - это функции для работы с INI-файлами, но они ничего не шифруют, а только читают-записывают... Одного оракловского пароля не достаточно, да и где его хранить? Вернее, где хранить еще более-менее понятно, в ини-файле или реестре, а вот как зашифровать нормально? Если б это было в Javа, я бы мог сказать 'используй алгоритм MD5 с http://www.logi.org/logi.crypto', а вот в басике я с таким не встречался...

Спасибо за ответ, еще есть какие идеи?

@ArtP · 15.03.2007, 14:34

Например так:

Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
Private Const thisString = '-- здесь достаточно длинная строка (у меня 86) из любых символов --'
Private thisStart As Variant
 
Private Sub Form_Load()
  thisStart = Array(52, 25, 43, 67, 28, 16, 49, 46, 4, 61, 31, 34, 19, 10, 64, 37, 58, 7, 1, 40, 55, 13)
End Sub
 
 
Private Function Encrypt(yourString As String) As String
  Dim myIndex As Integer, myOffset As Integer
  Dim myChar As Integer, myLeft As Integer, myRight As Integer
 
  myOffset = (Len(yourString) * 2) Mod 22
  For myIndex = 1 To Len(yourString)
    myChar = Asc(Mid(yourString, myIndex, 1))
    myRight = myChar And 7
    myLeft = myChar  8
    Encrypt = Encrypt & Mid(thisString, myLeft + thisStart(myOffset), 1) & Mid(thisString, myRight + thisStart(myOffset + 1), 1)
    myOffset = (myOffset + 2) Mod 22
  Next myIndex
End Function
 
Private Function Decrypt(yourString As String) As String
  Dim myIndex As Integer, myOffset As Integer
  Dim myChar As Integer, myLeft As Integer, myRight As Integer
  
  If (Len(yourString) Mod 2) Then
    Err.Raise 541, 'Decrypt', 'Invalid Password'
  End If
 
  myOffset = Len(yourString) Mod 22
  For myIndex = 1 To Len(yourString) Step 2
    myLeft = InStr(Mid(thisString, thisStart(myOffset), 16), Mid(yourString, myIndex, 1)) - 1
    myRight = InStr(Mid(thisString, thisStart(myOffset + 1), 16), Mid(yourString, myIndex + 1, 1)) - 1
    If (myLeft < 0) Or (myRight < 0) Then
      Err.Raise 541, 'Decrypt', 'Invalid Password'
    End If
    myChar = (myLeft * 8) Or myRight
    Decrypt = Decrypt & Chr(myChar)
    myOffset = (myOffset + 2) Mod 22
  Next myIndex
End Function

@Alexey · 15.03.2007, 15:05

Спасибо, попробую... Я вот еще о чем сейчас подумал - можно проверять ip-адрес машины, с которой пытаются запустить эту программу. Ведь если, например, пароль БД будет известен, то каждый сможет запустить прогу где угодно. А так, можно составить список ip, которым позволять доступ и хранить его либо в БД, либо простым файликом на сервере. Еще можно попробовать генерировать какой-нибудь ключ, уникальный для каждого компа, тогда тоже будет более надежней. Как идея?

@ArtP · 15.03.2007, 15:18

IP - адрес может во многих случаях назначаться динамически при каждом сеансе работы, кроме того его легко перехватить и использовать. А для передачи через интернет паролей обычно используют засекреченные каналы, сейчас стали популярны виртуальные приватные сети VPN

@Alexey · 15.03.2007, 15:22

OK, IP не годятся, тогда может пробовать остановить внимание на каком-то ключе, который будет уникален для каждого компьютера? Что-то вроде по-принципу регистрации лицензионных программ?

@ArtP · 15.03.2007, 15:30

В интернете есть целые сайты с генераторами ключей для сотен лицензионных программ. Но эта тема выходит за рамки VB.

@Alexey · 15.03.2007, 15:34

Да это я понимаю, что если взламывают программы больших и серьезных фирм, то в моем случае тоже такое реально, тем более, если постараться. Но какое же посоветуешь решение мне принять? Использовать только шифровку пароля для соединения с БД?

@ArtP · 15.03.2007, 15:44

Почему только с БД:
пропеши в ini файл (или подальше в регистре) зашифрованный пароль, а пользователь пусть вводит не зашифрованный, программа возмет пароль из ini файла расшифрует и сверит с паролем введенным пользователем. То же самое можно сделать и на стороне WEB сервера, только передавать пароль от клиента (в том числе и оракловский) по открытым каналам надо в зашифрованном виде, так работают очень много программ.

@Alexey · 15.03.2007, 15:48

Первый вариант понятен.
Второй не совсем: как же я установлю соединение с БД если пошлю зашифрованный пароль? Я использую VB6, ADO2, Oracle8.

@ArtP · 15.03.2007, 15:53

А веб-сервер на что тогда, пусть он расшифрует и устанавливает соединение с БД.

Новые блоги и статьи Все статьи Все блоги /
Уведомление о неверно выбранном значении справочника Maks 06.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "НарядПутевка", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если в документе выбран неверный склад. . .	Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .
Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/

@Alexey 0 / 1 / 3 Регистрация: 27.03.2012

	Нужен совет об увеличении безопасности VB-шного приложения 15.03.2007, 13:40. Показов 1482. Ответов 11 Метки нет (Все метки) Нужен совет об увеличении безопасности VB-шного приложения, работающего с удаленной БД веб-сервера (Oracle). Смысл таков, что заказчик хочет как можно больше 'обезопасить', увеличить секретность работы программы, т.к. программа работает с БД реального сайта и если попадет, например, в руки врага, то тот сможет просто-напросто все 'покилить' на сервере... Какие шаги можно предпринять, пароль на запуск, инсталляцию, оракловское соединение (уже есть), где и как хранить пароли и т.д...? Кто-нибудь сталкивался с такими вещами, буду рад получить вразумительный ответ... Спасибо! 0

@ArtP 3 / 3 / 0 Регистрация: 15.03.2007 Сообщений: 63
	15.03.2007, 13:53
	Если не достаточно Оракловского пароля то можно использовать аутентификацию пользователя на клиенте (зашифрованный пароль хранить в регистре или ini файле) и/или веб сервере см. например статью http://www.relib.com/asp/files/asp.zip или используй для шифрования паролей Windows API: GetPrivateProfileString Lib 'kernel32' WritePrivateProfileString Lib 'kernel32' 0

@Alexey 0 / 1 / 3 Регистрация: 27.03.2012
	15.03.2007, 13:58
	GetPrivateProfileString и WritePrivateProfileString - это функции для работы с INI-файлами, но они ничего не шифруют, а только читают-записывают... Одного оракловского пароля не достаточно, да и где его хранить? Вернее, где хранить еще более-менее понятно, в ини-файле или реестре, а вот как зашифровать нормально? Если б это было в Javа, я бы мог сказать 'используй алгоритм MD5 с http://www.logi.org/logi.crypto', а вот в басике я с таким не встречался... Спасибо за ответ, еще есть какие идеи? 0

@Alexey 0 / 1 / 3 Регистрация: 27.03.2012
	15.03.2007, 15:05
	Спасибо, попробую... Я вот еще о чем сейчас подумал - можно проверять ip-адрес машины, с которой пытаются запустить эту программу. Ведь если, например, пароль БД будет известен, то каждый сможет запустить прогу где угодно. А так, можно составить список ip, которым позволять доступ и хранить его либо в БД, либо простым файликом на сервере. Еще можно попробовать генерировать какой-нибудь ключ, уникальный для каждого компа, тогда тоже будет более надежней. Как идея? 0

@ArtP 3 / 3 / 0 Регистрация: 15.03.2007 Сообщений: 63
	15.03.2007, 15:18
	IP - адрес может во многих случаях назначаться динамически при каждом сеансе работы, кроме того его легко перехватить и использовать. А для передачи через интернет паролей обычно используют засекреченные каналы, сейчас стали популярны виртуальные приватные сети VPN 0

@Alexey 0 / 1 / 3 Регистрация: 27.03.2012
	15.03.2007, 15:22
	OK, IP не годятся, тогда может пробовать остановить внимание на каком-то ключе, который будет уникален для каждого компьютера? Что-то вроде по-принципу регистрации лицензионных программ? 0

@ArtP 3 / 3 / 0 Регистрация: 15.03.2007 Сообщений: 63
	15.03.2007, 15:30
	В интернете есть целые сайты с генераторами ключей для сотен лицензионных программ. Но эта тема выходит за рамки VB. 0

@Alexey 0 / 1 / 3 Регистрация: 27.03.2012
	15.03.2007, 15:34
	Да это я понимаю, что если взламывают программы больших и серьезных фирм, то в моем случае тоже такое реально, тем более, если постараться. Но какое же посоветуешь решение мне принять? Использовать только шифровку пароля для соединения с БД? 0

@ArtP 3 / 3 / 0 Регистрация: 15.03.2007 Сообщений: 63
	15.03.2007, 15:44
	Почему только с БД: пропеши в ini файл (или подальше в регистре) зашифрованный пароль, а пользователь пусть вводит не зашифрованный, программа возмет пароль из ini файла расшифрует и сверит с паролем введенным пользователем. То же самое можно сделать и на стороне WEB сервера, только передавать пароль от клиента (в том числе и оракловский) по открытым каналам надо в зашифрованном виде, так работают очень много программ. 0

@Alexey 0 / 1 / 3 Регистрация: 27.03.2012
	15.03.2007, 15:48
	Первый вариант понятен. Второй не совсем: как же я установлю соединение с БД если пошлю зашифрованный пароль? Я использую VB6, ADO2, Oracle8. 0

@ArtP 3 / 3 / 0 Регистрация: 15.03.2007 Сообщений: 63
	15.03.2007, 15:53
	А веб-сервер на что тогда, пусть он расшифрует и устанавливает соединение с БД. 0