Login de SGBD

"Juan Diego Bueno" wrote in message
news:

Supongo que sabeis lo fácil que es descompilar una aplicación .NET.
Eso plantea un problema al almacenar la cadena de conexión a la BD, la
cual queda visible por estos medios. No es un tema primordial en mi
trabajo, ya que va a ser de uso interno, pero sí me gustaría saber de
que manera/s ocultar dicha contraseña o almacenarla de forma que no
sea tan accesible.

¿Web o Windows? ¿Framework 1 ó 2?

Si es Web y Framework 2, se pone la cadena de conexión en el web.config y se
encripta con este comando:

aspnet_regiis.exe -pe connectionStrings -app /NombreAplicacion

Aplicación de escritorio, y frameworks 1 y 2

Con aplicaciones web, no veo el problema, ya que no se accede al
código aspx de las webs, pero tomo nota de la propuesta

Alberto Poblacion wrote:

"Juan Diego Bueno" wrote in message
news:
> Supongo que sabeis lo fácil que es descompilar una aplicación .NET.
> Eso plantea un problema al almacenar la cadena de conexión a la BD, la
> cual queda visible por estos medios. No es un tema primordial en mi
> trabajo, ya que va a ser de uso interno, pero sí me gustaría saber de
> que manera/s ocultar dicha contraseña o almacenarla de forma que no
> sea tan accesible.

¿Web o Windows? ¿Framework 1 ó 2?

Si es Web y Framework 2, se pone la cadena de conexión en el web.config y se
encripta con este comando:

aspnet_regiis.exe -pe connectionStrings -app /NombreAplicacion

"Juan Diego Bueno" wrote in message
news:

Aplicación de escritorio, y frameworks 1 y 2

Con aplicaciones de escritorio no hay una solución que sea perfecta. La
cadena de conexión se puede cifrar utilizando el cryptoapi a través de las
clases que hay en System.Security.Cryptography. El problema es que la clave
para descifrarla tiene que ser accesible al programa, y si partimos de la
base de que te desensamblan el código y ven todo el contenido, pues entonces
pueden ver la clave (o el mecanismo que se utiliza para obtener la clave) y
en consecuencia decodificar la cadena de conexión. La solución podría
consistir en proteger esa clave usando el Data Protection API de Windows, de
forma que solo el usuario al que pertenece la clave pueda acceder a ella.
Pero si todo este lío es precisamente para ocultarle la cadena de conexión
al propio usuario, pues entonces no hemos conseguido nada.
En resumen: más vale hacer las cosas bien hechas y no meter credenciales
en la cadena de conexión a la base de datos. En lugar de eso, utilizar la
seguridad integrada y dejar que sea la infraestructura de windows y la del
servidor de base de datos las que se preocupen de intercambiar y validar
credenciales, sin que el programa las maneje en ningún momento.

Supongo que sabeis lo fácil que es descompilar una aplicación .NET.

No sabia. Es realmente tan facil ????

Y si es Windows ?


"Alberto Poblacion"
escribió en el mensaje news:

"Juan Diego Bueno" wrote in message
news:

Supongo que sabeis lo fácil que es descompilar una aplicación .NET.
Eso plantea un problema al almacenar la cadena de conexión a la BD, la
cual queda visible por estos medios. No es un tema primordial en mi
trabajo, ya que va a ser de uso interno, pero sí me gustaría saber de
que manera/s ocultar dicha contraseña o almacenarla de forma que no
sea tan accesible.

¿Web o Windows? ¿Framework 1 ó 2?

Si es Web y Framework 2, se pone la cadena de conexión en el web.config y
se encripta con este comando:

aspnet_regiis.exe -pe connectionStrings -app /NombreAplicacion