Доброго времени суток.

Имеется некоторое приложение TargetApp , в конфигурационных настройках которого хранится строка подключения к БД. Физически, настройки подключений к БД вынесены в отдельный файл connections.config . Т.о. общая картина следующая:

TargetApp.exe.config:



connections.config:



Согласно документации Майкрософт, шифрование строк подключений, хранящихся в конфигурационном файле приложения, должно выполняться на той машине, где этот конфиг-файл будет использоваться. Т.е. шифровать конфиг на машине разработчика смысла нет.

Написал консольное приложение ConfigTools.exe , задача которого - шифровать/дешифровывать config-файлы того exe, имя которого было передано ему через параметры с одним из ключей: --encrypt, --decrypt.

При помощи ConfigTools.exe выполняю шифрование строк подключения в конфиг-файлах, используемых приложением TargetApp.exe .

Код шифровки/дешифровки достаточно простой:




TargetApp.exe успешно извлекает из настроек строки подключения, не зависимо от того зашифрованы они или нет. Т.е. одно приложение шифрует/расшифровывает config-файл, но при этом оба приложения успешно считывают строки подключения (платформа .net framework сама автоматом всё расшифровывает при обращении к соответствующей записи, хранящей строку подключения).

Т.е. с одной стороны вроде всё нормально - открыв в Notepad мой config-фай, юзер увидит зашифрованную строку подключения... Но вот с другой стороны всё же возникает большой вопрос о надёжности такой защиты... Ведь получается, что любой желающий может написать подобный код, запустить его на целевой машине и с лёгкостью расшифровать строки подключения... Может я чего-то упускаю из вида?

Как защитить шифруемую информацию от подобных случаев?

С уважением, Андрей

Roman Mejtesданная операция (шифрование\дешифрование) секции конфигурационного файла требует права администратора с повышением, то есть, если пользователь захочет зашифровать или расшифровать файл на компьютере у него не получится.
Увы... Проверил с правами рядового пользователя - всё успешно расшифровалось, к сожалению безо всяких админских прав.
Roman MejtesСколько твои стоят?
Или теория?
Не теория. Стоят прилично. Данные не мои, а компании. Предлагаю флуд не разводить.

На тот случай, если будет интересно проверить - во вложении архив, в котором инструкция и два подопытных кролика: консолька шифровки\расшифровки строки подключения в конфиг-файле, и другая консолька, над конфиг-файлом которой выполняются опыты (согласно инструкции, обозначенной в readme.txt).

К сожалению, шифровка\расшифровка без проблем выполняется из под обычного юзера. ☹

Petro123пользователь Иванов расшифровал свой пароль или чужой?
Оба варианта успешно отработали.

Petro123откуда в конфиге чужие пароли?
Не "чужие", а специальные учётные записи, от имени которых должны выполняться определённые операции на различных серверах.

Сон Веры ПавловныПри использовании DataProtectionConfigurationProvider шифрование можно перенести с уровня хоста на уровень приложения - см. здесь: https://stackoverflow.com/questions/21336455/protect-config-file-with-user-level-dpapi-winforms
Но я всё же присоединяюсь к предыдущим ораторам. Неправильно это. Раз используется MSSQL, то вин-аутентификация, и права на сервере строго в рамках выполняемой задачи (а то некоторые админы как писать grant-скрипты не знают, тыкать галки на объектах в SSMS им долго, поэтому сделают на сервере логин, дадут ему sa - и можно пить чай, такого супергероя даже на соответствующих пользователей в базе мапить не нужно).
Насколько я понял из общения с нашими IT-шниками, виндовая аутентификация у нас не для всего работает. У нас множество CRM, которые раскиданы по разным континентам. Для их использования на компах разработчиков запускаем SSL VPN Client. Для подключения к CRM приходится в строке подключения явным образом указывать логин и пароль. К сожалению, я не силён в вопросах, касающихся сетей. Если бы нам всегда подходила виндовая аутентификация, то использовали бы её, конечно.

Petro123Вопрос был не про виндовую, а про то что Вася пупкин имеет конфиг генерального директора.
Конфиг не имеет отношения к какому-либо конкретному юзеру (генеральному директору или кому-то ещё). Конфиг относится к приложению в целом . В конфигурационном файле указано, какой логин и пароль следует использовать приложению для подключения к тому или иному URL. Это те логин и пароль, которые на удалённом ресурсе (указываемому через URL) созданы специально для данного приложения. Не важно, кто запустит приложение (Вася или Петя) - логин и пароль разрешается использовать один и тот же. Это приложение для разработчиков, а не для пользователей, поэтому одного логина/пароля нам вполне достаточно.

Поскольку подключаться приходится к разным URL, т.е. в конфиг-файле имеется несколько записей, указывающих URL, логин и пароль.

Если для подключения к удалённому ресурсу приходится явным образом использовать логин и пароль, то значит другого варианта сделать это не нашли. В виду этого и возникает необходимость шифровать соответствующую секцию конфигурационного файла.

fkthatНу тебе уже сто раз написали про вариант для такого варианта - каждому пользователю свой логин/пароль и настройка прав в БД, - все остальное это детские костыли.
Программка и её исходники хранятся в составе git-репозитория, совместно используемого разработчиками, так что вариант с логином/паролем для каждого разработчика - в данном случае не подходит. Предлагаю писать либо по теме топика, либо ничего. Вопрос был о проблеме, связанной с возможностью расшифровки.

Печально, во что превратился форум... Если модераторы так и не будут блокировать троллей, то в конце-концов форум станет бесполезен. имхо.

stenfordсекция конфигурационного файла шифруется не для того, что-бы спрятать пароль от текущего пользователя, а что-бы другие не смогли его прочитать.
Выше я уже писал, что зашифровывал конфиг из под одного пользователя и успешно расшифровывал из под другого.

Petro123нет логики. У тебя как бы нет отдельных пользоватей.
Значит слово "из под другого" туфта.
Прекращай разводить срач ради срача.