Diskuze: Entity framework connection string

C# .NET .NET (C# a Visual Basic) Entity framework connection string American English version English version

Avatar
peet.d
Člen
Avatar
peet.d:

Ahoj,

chtěl bych se zeptat jestli existuje nějaké řešení, aby nebylo heslo do databáze pro EF uložené ve web.config, nebo aby bylo zašifrované a samozřejmě, aby ho mohl entity framework použít.

Nikdo se sice k web.configu nedostane, ale ten kdo má přístup na server tak se může podívat na připojení do databáze.

 
Odpovědět 19.11.2014 15:35
Avatar
Petr Nymsa
Redaktor
Avatar
Odpovídá na peet.d
Petr Nymsa:

Tak ono je spíš otázka, pokud přeci se uživatel dostane na server a může (tj má práva) ke čtení ISS... proč by nemohl lozit do databáze?

Nahoru Odpovědět 19.11.2014 16:26
Pokrok nezastavíš, neusni a jdi s ním vpřed
Avatar
peet.d
Člen
Avatar
Odpovídá na Petr Nymsa
peet.d:

a v případě, že budu mít svůj DB server a web na webhostingu, pak by se hodilo zabezpečení?

 
Nahoru Odpovědět 19.11.2014 16:29
Avatar
Odpovídá na peet.d
Michal Štěpánek:

Jak to myslíš "svůj DB server a web na webhostingu"? To jako, že DB bude u tebe na lokálu a stránky na webhostingu?
EDIT: Když už používám nějaký webhosting, tak proč bych neměl použít i jejich DB?

Editováno 19.11.2014 18:30
Nahoru Odpovědět 19.11.2014 18:29
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Avatar
peet.d
Člen
Avatar
Odpovídá na Michal Štěpánek
peet.d:

přesně tak jsem to myslel, ale ten příklad kdy budu mít i DB na webhostingu je v podstatě ještě horší, když správci toho serveru můžou vidět můj webconfig - nebo nemůžou ?

 
Nahoru Odpovědět 19.11.2014 19:11
Avatar
Odpovídá na peet.d
Michal Štěpánek:

Samozřejmě, že když sedíš u serveru, máš admin práva, tak můžeš "všechno", ale když bych nevěřil svému poskytovateli webhostingu, tak bych si v životě nemohl vystavit stránky "do světa"...
Navíc, správci hostingu nepotřebují koukat někam do web.config, když se můžou podívat přímo do DB. Ale proč by to dělali? Co bys tam mohl mít tak zajímavého, aby jim stálo za to porušit jakási "pravidla" a vloupali by se ti do DB?
To už tak trochu zavání paranoiou... Pokud máš nedůvěru k webhostingům, můžeš si spravovat svůj vlastní webserver a DB server, ale věř mi, nestojí to za tu "šichtu"...

Editováno 19.11.2014 19:31
Nahoru Odpovědět 19.11.2014 19:30
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Avatar
peet.d
Člen
Avatar
Odpovídá na Michal Štěpánek
peet.d:

OK to máš pravdu, přesto si myslím, že se za jistých okolností může hodit aby heslo nebylo v plaintextu, např. u firem, které mají vlastní app. server a mají zaměstnance, kteří potřebují přistupovat na server s aplikací, ale heslo do databáze by neměli vidět, pak by se to tedy muselo řešit právy na serveru.

 
Nahoru Odpovědět 19.11.2014 19:46
Avatar
Odpovídá na peet.d
sadlomaslox25:

http://msdn.microsoft.com/….110%29.aspx kapitola "Encrypting Configuration File Sections Using Protected Configuration"

 
Nahoru Odpovědět 19.11.2014 20:20
Avatar
Odpovídá na peet.d
Michal Štěpánek:

Trošku mi připadá, že tu mícháš více věcí dohromady... Firemní aplikace nemusí být na hostingu, stačí mít intranetový webserver a na něm to mít. Na tento server mají přístup POUZE admini, nikdo jiný. SQL databáze obvykle bývá na SQL serveru, ne na web serveru a ani na jeden server běžný uživatel přístup nemá. Pokud ano, tak rozhodně ne do DB a v žádném případě nebude mít právo k zápisu do DB...

Nahoru Odpovědět 19.11.2014 20:37
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Avatar
Petr Nymsa
Redaktor
Avatar
Odpovídá na peet.d
Petr Nymsa:

Jestli běžní uživatelé (tj zaměstnanci) mají přístup do Vašeho serveru -> tak máte silně blbě nastavený práva. Nic šifrovat není třeba, je to věc o hledně práv... navíc jak Michal Štěpánek - pleteš tu X pojmů a věcí dohromady

Nahoru Odpovědět  +1 20.11.2014 7:22
Pokrok nezastavíš, neusni a jdi s ním vpřed
Avatar
peet.d
Člen
Avatar
peet.d:

Pojmy pletu asi proto, že se snažím vymyslet adekvátní příklad, ale nic mě nenapadlo. Já jsem se ptal jenom čistě ze zvědavosti jestli EF podporuje nastavení connectionstringu jinak než ve web.configu, třeba v javě (hibernate,mybatis) existuje hned několi možností jak connectionstring nastavit.

 
Nahoru Odpovědět 20.11.2014 8:07
Avatar
Odpovídá na peet.d
Michal Štěpánek:

V podstatě se do web.config nedá dostat jinak, než přes FTP, bo z HTTP to nelze. A běžný uživatel přes FTP k tvému webu přístup nemá, pokud mu ho nedáš sám. Admini ano, ale ti jsou tam od toho, aby měli všude přístup a mohli ti v případě problému pomoci. Rozhodně tam nejsou na to, aby ti nějak škodili a nemyslím si, že by měli tolik času, aby jen tak ze zvědavosti prohlíželi stovky databází, které spravují... 8-)

Nahoru Odpovědět  +1 20.11.2014 8:27
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Avatar
peet.d
Člen
Avatar
peet.d:

Dobře, děkuji za odpovědi.

 
Nahoru Odpovědět 20.11.2014 10:05
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 13 zpráv z 13.