Πρώτα Βήματα - Desktop Applications

Απ: UserName Validation

KelMan — Tue, 27 Mar 2007 02:45:30 GMT

Θέτεις πολλά ερωτήματα σε ένα post οπότε ας τα δούμε από την αρχή...

Ως προς το user validation, όπως είπαν και οι προηγούμενοι, μια καλή λύση - και απλούστερη σε σχέση με το encryption - είναι ο μηχανισμός του hashing αρκεί να μην έχεις ως απαίτηση την ανάκτηση του password καθώς δεν αποθηκεύεται πουθενά με την αρχική του μορφή.

Ως προς το διάβασμα από τη βάση, ισχύει ο γενικός κανόνας ότι θα πρέπει να κρατάς τα credentials όσο το δυνατόν λιγότερο στη μνήμη.

Ως προς τη βάση και τα data, γενικά δεν κρυπτογραφούνται τα δεδομένα στο σύνολό τους γιατί κάτι τέτοιο, αν και εφικτό, έχει μεγάλο κόστος ως προς το performance. Θα πρέπει να ξεχωρίσεις τα πιο ευαίσθητα και να κρυπτογραφίσεις αυτά.

Πάντως γενικότερα, η υπόθεση του security δεν λύνεται απλά με μερικές συνταγές και δεν είναι κάτι που αφορά μόνο την εφαρμογή σου και τη βάση. Είναι ένα θέμα που αφορά τη συνολική σχεδίαση του συστήματος και ξεκινάει από πολύ μικρές λεπτομέρειες (όπως πχ χρήση του SecureString αντί του String) και φτάνει μέχρι την φυσική πρόσβαση στο s/w και h/w.

Αυτό που μπορείς να κάνεις για να αντιμετωπίσεις το πρόβλημα πιο ορθολογικά, είναι αρχικά να αναλύσεις από ποιές απειλές θες να προστατέψεις το σύστημά σου. Από τον hacker; Τον κακόβουλο power user; Τον περίεργο adminitrator; Τι "ζημιά" μπορεί να σου κάνει ο καθένας από αυτούς; Συμφέρει να επενδύσεις χρόνο και κόπο για να προστατέψεις το σύστημά σου για τις απειλές που θα προσδιορίσεις; Ένα σύστημα ποτέ δεν μπορεί να είναι 100% secure, οπότε καλό είναι να αποφασίσεις μέχρι πιο βαθμό θα προσπαθήσεις να το προστατέψεις, να συμφιλιωθείς με το ενδεχόμενο να συμβεί η στραβή και να καταστρώσεις σχέδιο για την επόμενη μέρα...

Απ: UserName Validation

gspiros — Mon, 26 Mar 2007 22:16:18 GMT

Υπάρχουν 2 τρόποι κωδικοποίησης.
1) το encrypt - decrypt, όπου ένα κείμενο το μετατρέπεις μέσω ενός αλγορίθμου σε κινέζικα και ύστερα με τον "αντίστροφο" αλγόριθμο το μετατρέπεις ξανά στο πρωτότυπο κείμενο.
2) το hash αυτό που ουσιαστικά κάνει είναι να μετατρέπει το κείμενο σε κινέζικα μέσα από μονόδρομο αλγόριθμο. Δεν μπορείς δηλαδή (θεωρητικά) αν έχεις το hashed κείμενο να το μετατρέψεις στο αρχικό.

Όταν θέλεις να κάνεις logon και επιβεβαίωση κωδικού μέσω hash αυτό που κάνει το πρόγραμμα είναι να χρησιμοποιεί τον ίδιο μονόδρομο αλγόριθμο και ύστερα να ελέγχει τα δύο hashed κείμενα (το αποθηκευμένο στην βάση και αυτό που δίνει ο χρήστης)
Σκέψου το σαν μια συνάρτηση που δίνει το τετράγωνο του αριθμού:

364755343^2 (=1,33046Ε+17)

Το να υπολογίσεις το τετράγωνο είναι πολύ εύκολο. Μπορεί να σου πάρει μερικά λεπτά αν το κάνεις με το χέρι, αλλά αν προσπαθήσεις να υπολογίσεις την ρίζα του αποτελέσματος, πιθανότατα να χρειαστείς αρκετή ώρα.
Φαντάσου τώρα ότι έχεις ένα αριθμό με περισσότερα από 100ψηφία...
Οι hash αλγόριθμοι βέβαια είναι "περισσότερο" μονόδρομοι απ' ότι αυτός του υπολογισμού του τετραγώνου, αυτό ήταν απλά ένα παράδειγμα.

Δεν νομίζω να έχεις πρόβλημα (ακόμα και αν κάνεις SELECT), αρκεί να μην σώζεις πουθενά τον κωδικό. Εγώ τουλάχιστον με SELECT δουλεύω...
Ελπίζω να βοήθησα.

Απ: UserName Validation

mdtgr — Sun, 18 Mar 2007 22:29:19 GMT

Τα περιεχόμενα ενός Table όπου αποθηκεύονται UserNames & Passwords νομίζω ότι μόνο ένας administrator πρέπει να τα βλέπει αλλιώς ο καθένας μπορεί να βρει συνδυασμούς UserName & Passwords με ανεξέλεγκτα αποτελέσματα.

Μήπως όμως θα μπορούσες να μου εξηγήσεις περισσότερο τι σημαίνει hash? Και ποιός είναι ο καλύτερος τρόπος να διαβάζω το συγκεκριμένο table να συγκρίνω τα περιεχόμενα των UserNameTextBox & PasswordTextBox και να επιτρέπω την πρόσβαση στην εφαρμογή μόνο στο σωστό συνδυασμό UserName & Password

Απ: UserName Validation

Panagiotis Kefalidis — Sun, 18 Mar 2007 21:02:50 GMT

Υπάρχει κάποιος συγκεκριμένος λόγος για τον οποίο δεν θα ήθελες να βλέπουν τα δεδομένα της βάσης?Μην ξεχνάς ότι τα δεδομένα είναι του χρήστη κι όχι δικά σου, οπότε δεν μπορείς να τον περιορίσεις να κάνει οτιδήποτε θέλει μ'αυτά, ακόμα και να τα μεταφέρει μελλοντικά σε ανταγωνιστική εφαρμογή.

Εάν θέλεις μπορείς να κρυπτογραφήσεις τα δεδομένα των password.Μπορείς να τα κάνεις hash και κάθε φορά που ο χρήστης δίνει ενα password να συγκρίνεις τα 2 hashes ώστε να δεις εάν το password ήταν σωστό. Έτσι προστατεύεις και το password όπου και να το δει κάποιος, δεν μπορεί να καταλάβει τι γίνεται, γιατί είναι hashed.

UserName Validation

mdtgr — Sun, 18 Mar 2007 20:43:42 GMT

Φτιάχνω μια εφαρμογή και ξεκινάει με LoginForm. Ποιός είναι κατά τη γνώμη σας ο καλύτερος τρόπος για User Validation; Πως είναι καλύτερα να διαβάσω τον πίνακα στην βάση, με Select, με Reader ή κάτι άλλο; Πως μπορώ να αποφύγω να ανοίξει κάποιος τη βάση και τον πίνακα και να δει τα data (encryption???). Υπάρχουν διαθέσιμα links;