MySQL データベースと FTP に接続する必要がある VB.NET のアプリケーションに取り組んでいます。他人にあげたアプリで使ったらどれだけ安全か。たとえば、他の人がこのアプリケーションを使用できるようにした場合、パケットを傍受するなどして、MySQL および FTP 接続の詳細を知ることができますか?
その場合、どうすればこれを回避できますか?また、私のアプリケーションの一部は、ユーザーがファイルをアップロードするためのアップローダです.FTPは安全ですか、それともより良い方法がありますか? それが違いを生む場合、私のサーバーはWindows Server 08です。
前もって感謝します。
状況によって異なりますが、 「明示的なクレデンシャルを使用したSQL Serverへのアクセス」の記事に従って、MySqlにも適用できます。
推奨される方法は、事前に定義されたユーザー名とパスワードをサーバーに保存し、それを読み取って実行時に接続文字列に追加することです。この手法の利点は、アプリケーションがデータベースで何をする必要があるかに応じて、さまざまな状況でさまざまな資格情報を使用してデータベースにアクセスできることです。
セキュリティ上の注意 クレデンシャルを文字列としてアプリケーションのプログラムにハードコーディングしないでください。コードファイルにアクセスできる人は誰でも、コンパイルされたコードであっても、資格情報を取得できます。
セキュリティ上の注意 常に、事前に定義されたユーザー名に、リソースへの最小限のアクセス権限を付与してください。「sa」やその他の管理者レベルのユーザー名は絶対に使用しないでください。常にパスワードを使用してください
FTP はプレーンテキストです。パケット スニッフィングだけでユーザー名とパスワードを取得するのは非常に簡単です。ftpが安全であると思われる場合は、sftpまたはftpsソリューションを見てください。これらは、ネットワーク層で SSL タイプの暗号化を使用します。機密情報に ftp サーバーを使用しないでください。
プロトコルをリバース エンジニアリングするのはかなり困難ですが、MySQL トラフィックも傍受できます。クライアントと mysql の間で安全にデータをやり取りする必要がある場合は、SSL 証明書を使用して情報を暗号化するように mysql を構成できます。これにより、最高水準のセキュリティが保証されます。