Trang 2 / 3 FirstFirst 123 LastLast
Hiển thị kết quả từ 11 đến 20 / 26
  1. #11
    Tham gia
    20-02-2009
    Location
    Ninh Bình
    Bài viết
    567
    Like
    0
    Thanked 34 Times in 31 Posts
    Cái đó thì còn tùy. Nhưng chắc chắn có một điều, bạn làm cho một công ty, mà có cái connection string với user login name và mật mã nằm khơi khơi như vậy, thì xếp cho bạn về nhà đuổi gà cho vợ thôi.

    Trường hợp bạn là con dâu hay con rể của xếp thì khác, không bị đuổi. Nhưng chắc chắn sẽ nhận được nụ cười miếng chi cọp rất khinh bỉ của bạn đồng nghiệp khi họ nhìn thấy cái web.config đó.

  2. #12
    Tham gia
    07-09-2007
    Bài viết
    26
    Like
    0
    Thanked 0 Times in 0 Posts
    Quote Được gửi bởi dq_ninh View Post
    Cái đó thì còn tùy. Nhưng chắc chắn có một điều, bạn làm cho một công ty, mà có cái connection string với user login name và mật mã nằm khơi khơi như vậy, thì xếp cho bạn về nhà đuổi gà cho vợ thôi.

    Trường hợp bạn là con dâu hay con rể của xếp thì khác, không bị đuổi. Nhưng chắc chắn sẽ nhận được nụ cười miếng chi cọp rất khinh bỉ của bạn đồng nghiệp khi họ nhìn thấy cái web.config đó.
    Tên này điên điên. vô viện đi.

  3. #13
    Tham gia
    26-07-2007
    Bài viết
    11
    Like
    0
    Thanked 0 Times in 0 Posts
    Đang mất ngủ vào bàn nhảm, bà con đừng chém tui.

    Quote Được gửi bởi dq_ninh View Post
    Không bao giờ để connection string ở web.config hết.
    không để trong file webconfig thì cũng phải để ở 1 file nào đó thôi hà.

    Quote Được gửi bởi dq_ninh View Post
    Nếu phải để connection string ở web.config, thì luôn luôn dùng encryption.
    Cái này bạn nói đúng.

    Quote Được gửi bởi amas View Post
    Tên này điên điên. vô viện đi.
    Bạn này có lẽ còn trẻ hơn bạn dq_ninh mà, nói chuyện nhẹ nhàng hơn một chút nha.

  4. #14
    Tham gia
    13-10-2008
    Location
    www.vnfox.com
    Bài viết
    462
    Like
    0
    Thanked 10 Times in 10 Posts
    Mình kô biết các bạn ra sao chứ mình lúc nào cũng để trong web.config hết ... nếu thằng host nó muốn lấy thì chịu thôi ... dùng encryption có thể slow down performance nhưng cũng tốt là làm encryption ... dù nó chôm được cái web.config cũng kô làm được gì.

    thông thường trong web.config của tui thì không có encryption

    nhưng trong username với password thì tui để $username $password ... sau đó khi initialize connection String ... tui gọi 1 cái method để replace($uername + password) với cái encrypted String đã set sẳng ... thay vì encrypted hết cái string ... tui chỉ replace ($username với pasword) thôi ...

    nếu lỡ hacker nó chôm hết website thì chịu thôi ... mà nói thiệt tui thấy đó giờ tui làm biết bao nhieu cái website có thấy hacker nào hackd dâu ... ngoại trừ đi chôm code (module) online rồi đi về sử sửa ... rồi khi nguoi ta ra version mới kô update lên ... rồi thì mấy anh hacker dzô forum đọc cách exploide ... rồi dzô fá bậy bạ dzị thôi!

    nếu đồ tự mình viết ra hacker mà muốn hack dzô ... cũng fải mất ăn mất ngủ á ... những gì chôm có free code thì dể bị hack hơn ... tại người ta có thể xem được cái logic.

  5. #15
    Tham gia
    17-05-2005
    Location
    HCM
    Bài viết
    70
    Like
    0
    Thanked 0 Times in 0 Posts
    Để ở web.config mà khơi khơi thì không biết để ở đâu nữa. Chắc mình cũng về đuổi gà cho ... má.
    web.config được .NET mã hóa và bảo mật rất cao, không có chuyện hack được nó đâu dq_ninh.
    Hack được bảo mật của Host + bảo mật của .NET đi rồi tính, không phải hacker là thánh cái gì cũng làm được.

  6. #16
    Tham gia
    20-02-2009
    Location
    Ninh Bình
    Bài viết
    567
    Like
    0
    Thanked 34 Times in 31 Posts
    Đây cũng là một phương pháp mà người ta hay dùng trên hầu hết các mạng không có giá trị để hack. Một mạng có giá trị để thu hút các tay hackers, dĩ nhiên không phải là mạng của tôi cũng như của bạn, cũng như hầu hết 90% các websites khác.

    Nhưng nếu bạn viết website cho các ngân hàng có cung cấp các dịch vụ chuyển tiền online thì lại khác. Hoặc một website tầm cỡ Amazon hàng năm buôn bán cả chục tỷ đô la thì lại khác.

    Còn cái chuyện để username/password trong config file, thật ra là một chuyện tầm phào/bố láo mà bất cứ một học sinh trung học đã học qua lập trình đều biết, đừng nói tới một lập trình gia chuyên nghiệp. Chỉ duy nhất một điều là hầu hết các admin của SQL cũng như của Windows đều theo quy tắc an toàn là bắt buộc các users phải thay đổi password mỗi tháng, hay ít nhất là ba tháng một lần. Không lẽ mỗi lần thay đổi password là mỗi lần phải vào sửa đổi config file?

    Nói tới hackers, nhiều người cứ nghĩ đến những source code có khả năng truy tầm password. Nhưng thật sự ra, 98% những tay hacke tìm ra được passwords mà không dùng bất cứ một phần mềm nào.

    Nói tới source code security là nói tới một phần mà có lẽ, phải học cả năm trời cũng chưa biết hết. Chẳng hạn như khi dùng một tham biến từ dạng char* trong C/C++, một chuyên gia về security cũng không bao giờ dùng tới một chuỗi char chấm dứt bằng null(0). Tại sao vậy? Tại vì các tay hackers có thể thay đổi các tham biến từ thuộc dạng chuỗi đó khi phần mềm đang chạy. Và đây chính là lý do tại sao Microsoft phải thay đổi tất cả các hàm string của họ trong C/C++ như strcpy, strcat qua strcpy_s, strcat_s, vận vân... Và nếu các bạn đọc document mới của bất cứ một hàm string của những hàm này, sẽ thấy ngay giòng sau đây:

    strcpy_s, wcscpy_s, _mbscpy_s
    Copy a string. These are versions of strcpy, wcscpy, _mbscpy with security enhancements as described in Security Enhancements in the CRT.
    Một hàm strcpy, được compile và chuyển thành binary code, mà còn có thể trở thành vô cùng không an toàn. Huống hồ chi nói đến cái chuyện để mật mã khơi khơi trong config file.

    Tất cả chúng ta đều vào đây để cùng học hỏi. Các bạn học hỏi, và tôi cũng học hỏi. Không ai có biết biết hết được tất cả. Cái chuyện để mật mã đó là tuyệt đối không nên làm, và tôi biết chắc chắn rằng như thế. Nhưng nếu có một vài bạn nào đó thích làm chuyện đó, thì cứ việc làm, đâu có ai cấm cản, đúng không?

  7. #17
    Tham gia
    17-05-2005
    Location
    HCM
    Bài viết
    70
    Like
    0
    Thanked 0 Times in 0 Posts
    Nói chuyện như ông dq_ninh dễ tự ái quá. Chửi đổng kiểu đó còn mở miệng học với hỏi. Tôi không biết ông bao nhiêu tuổi nhưng nói giọng cha chú đó tôi hơi bị dị ứng.
    Ông để ở web.config bao nhiêu connection string, bao nhiêu user mà bắt user đổi? Cái này thường chỉ cho một truy cập duy nhất để đọc dữ liệu từ DB server và được .NET bảo mật khá cao, ông chui vào mà lấy được tui khen ông giỏi.

    Thêm một lợi điểm của web.config là admin có thể sửa đổi trực tiếp connection string on-the-fly mà không cần phải build lại application của mình trên server nếu DB có thay đổi. Nếu muốn bảo mật hơn, encrypt nó như là ý của Scripted và viết thêm một lớp để có thể thay đổi nó tự động, vậy là xong, rõ ràng là chẳng ai để plain text không hay. Nhưng nói để ở web.config là "chuyện tầm phào/bố láo" thì tôi cũng thua, chắc chỉ mình ông là "lập trình gia" chuyên nghiệp.

    Nói luôn cho hết, ông đem mấy cái Security của C Runtime vào đây thì nói tới năm sau cũng chưa hết. Chắc ông đang nghiên cứu Safe Library của nó hả

    Thêm phát: không biết ông lấy thông tin ở đâu mà 90% website rồi 98% hackers cái này cái kia, cho cái link đọc đi.

  8. #18
    Tham gia
    07-07-2008
    Bài viết
    1
    Like
    0
    Thanked 0 Times in 0 Posts
    Dạ thưa các anh.
    Nếu các anh không để connection string trong webconfig thì cũng ở File khác thôi.nhưng nếu để khơi khơi ra đơn giản nhất có chú nhân viên đi qua đá hình 1 cái khả năng các bác đền bù thiệt hại rất cao.THường bọn em hay mã hóa nó hì hì hì.Mong các bác đừng cãi nhau.Bảo mật rất cao nhưng chỉ là tương đối.Con người làm ra được thì con người cũng có khả năng can thiệp được.

  9. #19
    Tham gia
    04-07-2009
    Bài viết
    854
    Like
    0
    Thanked 7 Times in 7 Posts
    @dq_ninh: nhiều khi em cũng ko hiểu lắm ý của anh (hay chú ^^), nhưng rất quan tâm đến các post của anh, vì học hỏi được khá nhiều.

    Tiện thể em dùng cách trong trang này hướng dẫn để mã hóa 1 số key/value pairs trong web.config. http://www.beansoftware.com/ASP.NET-...on-String.aspx

    anh có thể phân tích độ an toàn bảo mật của nó ko, đã đáp ứng đủ chưa

    câu hỏi khác: ở trên anh có nói "Nếu phải để connection string ở web.config, thì luôn luôn dùng encryption" vậy nếu em ko muốn lưu connection string ở web.config thì nên lưu ở đâu, cách thức tương tác?

    Ý tưởng của em: Viết 1 module, ở sự kiện tại thời điểm khi webserver bật lên, prompt admin: yêu cầu nhập các thông số kết nối, lưu các thông số này trên memory (chứ ko lưu trên file của hdd). Các thông số trên memory lưu vào biến ở global scope đối với ứng dụng web (mỗi công nghệ web sẽ có 1 tên gọi, nên em chỉ gọi chung là biến ở global scope).

    ví dụ em dùng J2EE thì sẽ làm 1 form yêu cầu system admin nhập vào user,pass,server,database_name và lưu vào biến application:

    application.setAttribute("key","value");

    khi cần truy xuất kết nối thì lấy giá trị ra:

    application.getAttribute("key"); // return object

    Anh xem xét dùm em nhé. Thanks anh!

    @các bạn:
    Có thể bài viết ra là đúng nhưng không được công nhận nhưng forum cũng là nơi học hỏi trao đổi thôi, cuối cùng thế nào là do bản thân mình quyết định đâu cần phải dùng ngôn từ kích động sỉ nhục nhau như thế. Cái cách mà lưu connection string, user / pass ở dạng raw string như thế đúng thực là chỉ có học sinh sinh viên làm bài tập đồ án trong trường mới làm thôi
    Được sửa bởi freshgraduate09 lúc 13:41 ngày 17-08-2010

  10. #20
    Tham gia
    18-06-2009
    Bài viết
    3
    Like
    0
    Thanked 0 Times in 0 Posts

    Không biết thế này có đúng không ??

    <connectionStrings>
    <add name="TienDungGraniteEntities" connectionString="metadata=res://*/TienDungGranite.csdl|res://*/TienDungGranite.ssdl|res://*/TienDungGranite.msl;provider=System.Data.SqlClient ;provider connection string=&quot;Data Source=.;Initial Catalog=dahoacuongtiendung.com;Persist Security Info=True;User ID=sa;Password=sa;MultipleActiveResultSets=True&qu ot;" providerName="System.Data.EntityClient" />
    </connectionStrings>

Trang 2 / 3 FirstFirst 123 LastLast

Bookmarks

Quy định

  • Bạn không thể tạo chủ đề mới
  • Bạn không thể trả lời bài viết
  • Bạn không thể gửi file đính kèm
  • Bạn không thể sửa bài viết của mình
  •