NOVINKA - Online rekvalifikační kurz Python programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.
Avatar
peet.d
Tvůrce
Avatar
peet.d:19.11.2014 15:35

Ahoj,

chtěl bych se zeptat jestli existuje nějaké řešení, aby nebylo heslo do databáze pro EF uložené ve web.config, nebo aby bylo zašifrované a samozřejmě, aby ho mohl entity framework použít.

Nikdo se sice k web.configu nedostane, ale ten kdo má přístup na server tak se může podívat na připojení do databáze.

 
Odpovědět
19.11.2014 15:35
Avatar
Petr Nymsa
Tvůrce
Avatar
Odpovídá na peet.d
Petr Nymsa:19.11.2014 16:26

Tak ono je spíš otázka, pokud přeci se uživatel dostane na server a může (tj má práva) ke čtení ISS... proč by nemohl lozit do databáze?

Nahoru Odpovědět
19.11.2014 16:26
Pokrok nezastavíš, neusni a jdi s ním vpřed
Avatar
peet.d
Tvůrce
Avatar
Odpovídá na Petr Nymsa
peet.d:19.11.2014 16:29

a v případě, že budu mít svůj DB server a web na webhostingu, pak by se hodilo zabezpečení?

 
Nahoru Odpovědět
19.11.2014 16:29
Avatar
Michal Štěpánek
Člen
Avatar
Odpovídá na peet.d
Michal Štěpánek:19.11.2014 18:29

Jak to myslíš "svůj DB server a web na webhostingu"? To jako, že DB bude u tebe na lokálu a stránky na webhostingu?
EDIT: Když už používám nějaký webhosting, tak proč bych neměl použít i jejich DB?

Editováno 19.11.2014 18:30
Nahoru Odpovědět
19.11.2014 18:29
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Avatar
peet.d
Tvůrce
Avatar
Odpovídá na Michal Štěpánek
peet.d:19.11.2014 19:11

přesně tak jsem to myslel, ale ten příklad kdy budu mít i DB na webhostingu je v podstatě ještě horší, když správci toho serveru můžou vidět můj webconfig - nebo nemůžou ?

 
Nahoru Odpovědět
19.11.2014 19:11
Avatar
Michal Štěpánek
Člen
Avatar
Odpovídá na peet.d
Michal Štěpánek:19.11.2014 19:30

Samozřejmě, že když sedíš u serveru, máš admin práva, tak můžeš "všechno", ale když bych nevěřil svému poskytovateli webhostingu, tak bych si v životě nemohl vystavit stránky "do světa"...
Navíc, správci hostingu nepotřebují koukat někam do web.config, když se můžou podívat přímo do DB. Ale proč by to dělali? Co bys tam mohl mít tak zajímavého, aby jim stálo za to porušit jakási "pravidla" a vloupali by se ti do DB?
To už tak trochu zavání paranoiou... Pokud máš nedůvěru k webhostingům, můžeš si spravovat svůj vlastní webserver a DB server, ale věř mi, nestojí to za tu "šichtu"...

Editováno 19.11.2014 19:31
Nahoru Odpovědět
19.11.2014 19:30
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Avatar
peet.d
Tvůrce
Avatar
Odpovídá na Michal Štěpánek
peet.d:19.11.2014 19:46

OK to máš pravdu, přesto si myslím, že se za jistých okolností může hodit aby heslo nebylo v plaintextu, např. u firem, které mají vlastní app. server a mají zaměstnance, kteří potřebují přistupovat na server s aplikací, ale heslo do databáze by neměli vidět, pak by se to tedy muselo řešit právy na serveru.

 
Nahoru Odpovědět
19.11.2014 19:46
Avatar
sadlomaslox25
Člen
Avatar
Odpovídá na peet.d
sadlomaslox25:19.11.2014 20:20

http://msdn.microsoft.com/….110%29.aspx kapitola "Encrypting Configuration File Sections Using Protected Configuration"

 
Nahoru Odpovědět
19.11.2014 20:20
Avatar
Michal Štěpánek
Člen
Avatar
Odpovídá na peet.d
Michal Štěpánek:19.11.2014 20:37

Trošku mi připadá, že tu mícháš více věcí dohromady... Firemní aplikace nemusí být na hostingu, stačí mít intranetový webserver a na něm to mít. Na tento server mají přístup POUZE admini, nikdo jiný. SQL databáze obvykle bývá na SQL serveru, ne na web serveru a ani na jeden server běžný uživatel přístup nemá. Pokud ano, tak rozhodně ne do DB a v žádném případě nebude mít právo k zápisu do DB...

Nahoru Odpovědět
19.11.2014 20:37
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Avatar
Petr Nymsa
Tvůrce
Avatar
Odpovídá na peet.d
Petr Nymsa:20.11.2014 7:22

Jestli běžní uživatelé (tj zaměstnanci) mají přístup do Vašeho serveru -> tak máte silně blbě nastavený práva. Nic šifrovat není třeba, je to věc o hledně práv... navíc jak Michal Štěpánek - pleteš tu X pojmů a věcí dohromady

Nahoru Odpovědět
20.11.2014 7:22
Pokrok nezastavíš, neusni a jdi s ním vpřed
Avatar
peet.d
Tvůrce
Avatar
peet.d:20.11.2014 8:07

Pojmy pletu asi proto, že se snažím vymyslet adekvátní příklad, ale nic mě nenapadlo. Já jsem se ptal jenom čistě ze zvědavosti jestli EF podporuje nastavení connectionstringu jinak než ve web.configu, třeba v javě (hibernate,mybatis) existuje hned několi možností jak connectionstring nastavit.

 
Nahoru Odpovědět
20.11.2014 8:07
Avatar
Michal Štěpánek
Člen
Avatar
Odpovídá na peet.d
Michal Štěpánek:20.11.2014 8:27

V podstatě se do web.config nedá dostat jinak, než přes FTP, bo z HTTP to nelze. A běžný uživatel přes FTP k tvému webu přístup nemá, pokud mu ho nedáš sám. Admini ano, ale ti jsou tam od toho, aby měli všude přístup a mohli ti v případě problému pomoci. Rozhodně tam nejsou na to, aby ti nějak škodili a nemyslím si, že by měli tolik času, aby jen tak ze zvědavosti prohlíželi stovky databází, které spravují... 8-)

Nahoru Odpovědět
20.11.2014 8:27
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Avatar
peet.d
Tvůrce
Avatar
peet.d:20.11.2014 10:05

Dobře, děkuji za odpovědi.

 
Nahoru Odpovědět
20.11.2014 10:05
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 13 zpráv z 13.