Sitter och funderar på vad som är bästa metod ur säkerhetssynpunkt när det gäller att koppla upp sig mot en MySQL-databas från asp.net. Just nu har jag hårdkodat ner användarnamn och lösenord i en klass "DBManager" som sköter kopplingen mot databasen. Denna ligger ju iofs som en assembly på webservern men jag skrev ju ändå ner användarnamn och lösen i klartext i koden, får rysningar bara jag ser mitt lösenord i klartext =). Jon, Det finns ett program för att skapa krypterade värden som kan läggas in i web.config. Minns dock inte vad det heter. "SHA1 är ingen kryptering :-) utan hasning. Praxis för user/password säkerhet asp.net <-> MySQL
Skulle gärna vilja ha kommentarer om detta tillvägagångssätt. Vad jag har förstått sköts mycket av det känsliga interagerandet med en SQL Server mha stored procedures, något som MySQL i sin nuvarande stabila version ju ej har.
En annan fråga som jag slänger in här med är den angående kryptering/dekryptering av lösenord för t.ex. en tabell med användare.
Har hittat metoder för att kryptera strängar med SHA1 både i .net och MySQL. Har dock inte riktigt kläm på hur jag ska implementera detta. Kanske finns någon guide någonstans?Sv: Praxis för user/password säkerhet asp.net <-> MySQL
SHA1 är ingen kryptering :-) utan hasning.
DES, RSA m.m är kryptering. ;-)
För att vara petig.
Ang användarnamn och lösen så skulle jag nog lagt denn a info i configfilen krypterat. Där nyckeln skulle kunna vara ASP .net användarens unika SID (security ID) en sträng som är unik för varje maskin.
Lättare att ta detta som nyckel då du slipper spara ner nykeln själv.
Mvh JohanSv: Praxis för user/password säkerhet asp.net <-> MySQL
Att koda lösenorden med SHA1 är inte så komplicerat. Koda lösenorden och spara i databasen. När du sedan ska kontrollera ett inskrivet lösenord så kan du inte avkoda värdena som är kodade, utan du får koda även det inskrivna lösenordet och jämföra det med de kodade värdena i databasen.Sv:Praxis för user/password säkerhet asp.net <-> MySQL
DES, RSA m.m är kryptering. ;-)
För att vara petig. "
Missade den kursen på högskolan =)...
Aja nu har jag iaf försökt att lägga hela connectionsträngen till databasen i web.config på detta sätt:
<code: xml>
<appSettings>
<add key="connStr" value="....bla bla bla passWord='Ett hashat lösenord???'/>
</appSettings>
</code>
Där jag bara har kopierat det "hashade" lösenordet från databasen till web.config. Har väl förstått så pass mycket att man måste förklara för applikationen på ngt sätt att det lösenord man använder är just hashat som när man lägger användare i <credentials passwordFormat="SHA1"> t.ex.
Någon som kan säga mig hur man kan ange detta i appSettings?