Есть ли какие-либо рекомендации по безопасному использованию SecureString? Я не вижу никакого способа даже создать безопасную строку в первую очередь, так как вам понадобится ее ввести из текстового поля в какой-то момент.Безопасен SecureString?
ответ
Возможно, вы не хотите использовать SecureString. Похоже, PG может фактически не поддерживать его или даже тянуть его в будущем - https://github.com/dotnet/apireviews/tree/master/2015-07-14-securestring.
Все дело в уменьшении поверхности атаки. Это не будет волшебным образом сделать ваше приложение 100% безопасным, но это, безусловно, помогает.
Даже если содержимое строки должно поступать от пользовательского ввода, все равно стоит использовать SecureString, если значение содержит конфиденциальную информацию. Когда ваше приложение читает содержимое текстового поля, поместите это значение в SecureString при первой же возможности. Как говорит Мехрдад, в этом случае он не на 100% безопасен, но больше безопасен, чем не использует SecureString.
Цель SecureString - зашифровать память данных в памяти. Это защищает от сканирования четкой текстовой памяти. Это может быть еще более важным, если часть памяти, содержащая строку, перемещается в файл подкачки во время операций подкачки.
Это немного похоже на ручку блокировки рулевого колеса для автомобиля. Это не остановит вашу машину, украденную кем-то, кто определен, но это, безусловно, отвлекает оппортунистических воров.
Строка легко доступна любому, у кого есть отладчик, доступ к машине, используя такие инструменты, как hawkeye. Действительно, community notes on MSDN делают это ясным.
- 1. Использование SecureString
- 2. Использование SecureString
- 3. Сохранение SecureString
- 4. Сохранение паролей (ConvertFrom-SecureString против Экспортно-CLIXML)
- 5. SecureString и IIS?
- 6. Как безопасно использовать SecureString?
- 7. Powershell TextBox SecureString
- 8. SecureString vs Hash
- 9. Put SecureString в PasswordBox
- 10. Powershell ConvertTo-SecureString ObjectNotFound
- 11. SecureString в Javascript/angular2
- 12. Использование SecureString с LogonUser
- 13. SecureString с ключами SecureKey
- 14. SecureString to Byte [] C#
- 15. Преобразование строки в SecureString
- 16. OKHTTP безопасен?
- 17. RealPath безопасен?
- 18. MySQL SecureString как строка подключения
- 19. не передать SecureString моего командлету
- 20. Установка пароля с помощью SecureString
- 21. Как преобразовать SecureString в System.String?
- 22. Последовательные хэши SecureString не соответствуют
- 23. VB.NET - класс PSEXEC и SecureString?
- 24. MemoryStream to SecureString: Очистка памяти
- 25. CredUIPromptForCredentials от .NET с SecureString
- 26. ConvertTo-SecureString без -AsPlainText -Force
- 27. Создать SecureString с паролем SecureKey
- 28. Как инициализировать SecureString для readonly
- 29. Насколько безопасен javax.crypto.Cipher?
- 30. $ _POST действительно безопасен?
+1 для аналогий. – Ikke