[C#] Connection string veilig opslaan

Web of windows? Web.config of App.config of registry...

Hebben we het nu over een web applicatie of een windows applicatie?

[ Voor 31% gewijzigd door eghie op 17-05-2006 15:00 ]

Wat is veilig ?
Wil je enkel bv het passwoord encrypten, of de volledige connection-string ?

Een connection string sla je best op in de config file (app.config of web.config), en evt kan je 'm encrypten (evt mbhv DPAPI).
Als je gebruik maakt van integrated security (in sql server), dan hoef je ook niet eens usernames en passwords in je connectie string te hebben).

Echter, als je'm in je config file plaatst, kan je 'm normaal gezien niet aanpassen. (Als je gebruik maakt van .NET 2.0 wellicht wel, maar, een app.config file staat in de program files directory, en deze is read-only voor gebruikers die geen administrator zijn.

Waarom moet de connectie string aanpasbaar zijn ? Als je gebruikers zelf moeten kiezen naar welke DB ze connecteren, is het dan geen idee om die connection-string on the fly aan te maken, mbhv de ConnectionStringBuilder class (oid in .NET 2.0).

[ Voor 41% gewijzigd door whoami op 17-05-2006 15:05 ]

Sla die string op in een per-user configfile of in de registry. Encrypten kun je doen door de user een password te laten opgeven en daarmee die string te encrypten. Gebruik diezelfde username/password om in te loggen op de applicatie en je bent vrij goed bezig.

Volgens Microsoft moet je integrated authentication gebruiken (het single-signon principe), volgens mij bied Windows wel wat functies om dingen te encrypten met een per-user key.

[edit]
Als jij zelf het wachtwoord wilt instellen en niet aan de users wilt geven, zul je de encryptiekey met de applicatie moeten meeleveren. Ingecompileerd of als een losse file. Minder veilig, maar tegen nietsvermoedende gebruikers wel voldoende.

[ Voor 23% gewijzigd door Gerco op 17-05-2006 15:14 ]

ingecompileerde encryptie lijkt me wel redelijk veilig toch???

dan ge-encrypt in de app.config mikken en klaar is kees..