Entity Framework を使用して非ローカル サーバー上のデータベースにアクセスする場合、接続文字列 (web.config ファイルに格納されている) でユーザー名とパスワードのパラメーターをどのように指定すればよいですか?
C# のステップ バイ ステップ ガイド (John Sharp による 2010 年版) を読んで、リバース エンジニアリングの可能性や誰かがソース コードを入手した場合にアプリケーションにハード コードしないようにしました。ですから、そうするための従来のベストプラクティスを知りたいです。
ユーザーとパスワードをハード コーディングすることは、次の 3 つの理由で好ましくありません。
この問題に対する魔法のような解決策はありません。この場合のセキュリティは、セキュリティを担当する人々の規律と善意にかかっています。
私の会社では、次のようになります。
web.configマシンにアプリケーションをデプロイするときに、開発部門からの情報を自分の秘密とマージします。でユーザーとパスワードを暗号化するweb.configことは、非常に役立ちます。最終的には、暗号化キーを明確な形式でアプリケーションにハードコーディングする必要があり、逆アセンブルの問題に戻ります。
私の意見では、非常に優れた解決策は、私の会社で起こっていることと、明確なキーと難読化による暗号化を組み合わせることです。
一般的な考え方は次のとおりです。
つまり、誰か (おそらく会社の所有者またはその他の責任者) が「greasemonkey」アプリを使用してユーザー名とパスワードを暗号化し、その結果の暗号化をアプリケーション管理者に提供する必要があります。
最初に所有者に資格情報の最初のペアを与えたデータベース管理者がいることも忘れないでください。所有者はパスワードを変更してから、私が設定したすべてのことを行う必要があります。
結論として、多くの解決策があり、いくつかは他より奇抜です。それはツールやコードだけでなく、規律にもあります。
web.config のセクションを暗号化できます。MSDN でこのチュートリアルを参照してください: http://msdn.microsoft.com/library/dtkwfdky.aspx従うのは非常に簡単です。
次のコードで試すことができます。
ConnectionStringsSection oSection = Configuration.ServiceConfiguration.GetConnectionStrings();
if(!oSection.SectionInformation.IsLocked && !oSection.SectionInformation.IsProtected)
{
oSection.SectionInformation.ProtectSection("RSAProtectedConfigurationProvider");
oSection.CurrentConfiguration.Save();
}
編集:
保護された構成の詳細については、MSDN リンク ( http://msdn.microsoft.com/en-us/library/53tyfkaw.aspx ) から入手できます 。