Даже с включенным https вы можете написать пароль для журнала событий с кодом. Любой способ сохранить этот пароль зашифрованным кодом, пока вы проверяете его на хранилище данных?Защита паролей в коде
(с использованием Войти управления)
(не может добавить свой комментарий к ответу Андрея, поэтому я ставлю его здесь)
NTLM использует имя пользователя/пароль, машины пользователь вошел в систему правильно? Для этого я думал об использовании ActiveDirectory на сервере в качестве хранилища данных. Это будет иметь разный un/pw, чем то, что пользователь в настоящий момент подписывает на свой компьютер.
Это действительно ничего не исправить. Пароль открытого текста по-прежнему будет доступен во всех точках жизненного цикла через объект контекста, который передал его в запросе для начала. Это не может быть изменено, и оно доступно повсеместно до тех пор, пока окончательный ответ не будет вытолкнут. –
@Joel - правда, но любое решение, представленное здесь, будет иметь такую же проблему. –
не обязательно. Это зависит от того, каковы его параметры аутентификации. Если он застрял в хранилище SQL или какой-либо другой подобной БД, тогда это правильно. Если он сможет изменить свою схему аутентификации для обеспечения интегрированной проверки подлинности NTLM, она будет хеширована через весь процесс и ни в коем случае не будет доступен пароль для просмотра или хранения. –