Anonymous | Login | Signup for a new account | 21-11-24 12:59 UTC |
All Projects | SAS.Планета | Домен, сайт, форум, багтрекер | Доработка карты (ZMP) | Переводы и локализации | Прочее |
My View | View Issues | Change Log | Roadmap | Search |
View Revisions: Issue #1124 | [ All Revisions ] [ Back to Issue ] | ||
Summary | 0001124: Хранение логинов и паролей для СУБД хранилищ в защищённом виде | ||
Revision | 21-12-2012 19:43 by vdemidov | ||
Description | Суть нововведения в общем-то проста. Хранить пароли (ну и логины заодно при желании, если логин тоже нельзя светить) для СУБД тайлохранилищ не в ini-шке, а более надёжно, с шифрованием, блэкджеком и шлюхами. |
||
Revision | 21-12-2012 19:41 by vdemidov | ||
Description | Суть нововведения в общем-то проста. Хранить пароли (ну и логины заодно при желании, если логин тоже нельзя светить) не в ini-шке, а более надёжно, с шифрованием, блэкджеком и шлюхами. Винда предоставляет как минимум 2 способа хранить такие данные (ну и 3-й в реестре или ini). 1. Защищённое хранилище, оно же Protected Storage. Требует, чтобы соответствующая служба была запущена (по умолчанию), всякие аутлуки "гадят" именно туда. Существует "просматривалка" Protected Storage. Насколько мне известно, никаких специальных прав для его использования не требуется, вообще ничего не требуется. Надёжность и безопасность низкая (служба может быть выключена, есть просматривалка). Шифрования как такового нет (просто хранится произвольный текст). 2. LSA предоставляет возможность сохранять пароли как lsa secret. Более надёжно и безопасно. 3. На самом деле после шифрования через LSA можно сложить пароль хоть в HKCU хоть в ini, разницы уже не будет с точки зрения надёжности. Возможно есть ещё варианты, я лишь перечислил то что лично использовал в коммерческих проектах. При том что вариант номер 1 я вырезал из публикуемого модуля (всё равно он нафиг не нужен по сравнению с LSA), остальное не подпадает под NDA, соответственно я могу это публиковать под GPL (ибо делал лично, права все у меня, не у "работодателей"). Актуальность доработки вызвана реализацией подключения к СУБД. А то я дошёл до аутентификации, а сложить логин и пароль в ini не позволяет религия, равно как запрашивать даже один раз за запуск саса тоже неудобно, если речь не идёт о тестировании. Делать, так сразу нормально. Внешне ничего не поменяется. Все настройки по умолчанию сохранятся. Даже пока никого не напрягает, параметры аутентификации на прокси-сервере можно не скрывать. Изменения будут именно в части реализации подключения к СУБД (настройки типа кэша и конкретного кэша). А как захочется скрыть пароль на прокси - просто там добавится чекбокс типа "use lsa". Ничего экстраординарного от конечных пользователей для использования всего этого безобразия не потребуется, это всё же не TPM. |
My View | View Issues | Change Log | Roadmap | Search |
Copyright © 2007 - 2024 SAS.Planet Team |