Aplicaciones Autenticación

20/09/2004 - 20:07 por Pao | Informe spam
Hola a todos:

He notado que hay muchas aplicaciones, donde las
estaciones clientes o los servidores por la aplicación
evidentmente realizan conexiones hacía bases de datos en
SQLServer (Autenticaciñon Mixta, pero no usan usuarios de
Windows solo de SQL) usando mecanismos como ADO, ODBC,
para la programación; donde se define un usuario y un
password de la base y ese tipo de información.

La aplicación que puede estar en el cliente o servidor
necesita leerlos a los datos de autenticación de alguna
parte, para ello utilizan archivos .ini, regedit, ODBC,
File DSN en las estaciones clientes o del servidor para
almacenar está información delicada, que en la mayoria de
los casos está expuesta como texto plano sin encriptación.
Por lo tanto el riesgo es sumamente alto.

Necesito alguna sugerencia de que implementar un esquema
seguro y tener un estandar para el desarrollo de las
futuras y actuales aplicaciones.

Se han estado creando programas de encriptación para de
alguna manera manterer esta información encriptadad, pero
como que no hay un estandar, unas utilizan un dll con un
algoritmo tal y otras otro..eso depende quien cree la
aplicación.

Agradecería me digan de una o varias alternativas que nos
ayuden a manejar estos casos de manera segura a fin de
poder también hacerlo un estándar para el desarrollo de
las aplicaciones. El front-End usado es Visual Basic,
ASP,Vbscript.


Muchas gracias por su ayuda.
 

Leer las respuestas

#1 Maxi
20/09/2004 - 20:37 | Informe spam
Hola, y porque no usar la seguridad integrada?

Si quieres usar la de SQL yo uso esto:

1. Las claves de los Logins las paso con el algotirmo HASH (o md5 en su
defecto)
2. No guardo la clave en ningun ini ni nada por el estilo, sino que armo la
pantalla de Bienvenida para que el usuario la introduzca, luego le aplico
HASH y comparo con la de SQL

Ademas de esto, ninguno de mis usuarios tiene acceso a nada, solo a ejecutar
SP, ademas que utilizo funciones de aplicacion, con lo cual tengo el tema
bien controladito y si alguien saca una clave no puede hacer nada de nada
:-)

Suerte



Salu2
Maxi
Buenos Aires - Argentina
Desarrollador Microsoft 3 Estrellas .NET
Nunca consideres el estudio como una obligación sino como
una oportunidad para penetrar en el bello y maravillosos
mundo del saber.
- Albert Einstein



"Pao" escribió en el mensaje
news:250f01c49f3c$ab8041a0$
Hola a todos:

He notado que hay muchas aplicaciones, donde las
estaciones clientes o los servidores por la aplicación
evidentmente realizan conexiones hacía bases de datos en
SQLServer (Autenticaciñon Mixta, pero no usan usuarios de
Windows solo de SQL) usando mecanismos como ADO, ODBC,
para la programación; donde se define un usuario y un
password de la base y ese tipo de información.

La aplicación que puede estar en el cliente o servidor
necesita leerlos a los datos de autenticación de alguna
parte, para ello utilizan archivos .ini, regedit, ODBC,
File DSN en las estaciones clientes o del servidor para
almacenar está información delicada, que en la mayoria de
los casos está expuesta como texto plano sin encriptación.
Por lo tanto el riesgo es sumamente alto.

Necesito alguna sugerencia de que implementar un esquema
seguro y tener un estandar para el desarrollo de las
futuras y actuales aplicaciones.

Se han estado creando programas de encriptación para de
alguna manera manterer esta información encriptadad, pero
como que no hay un estandar, unas utilizan un dll con un
algoritmo tal y otras otro..eso depende quien cree la
aplicación.

Agradecería me digan de una o varias alternativas que nos
ayuden a manejar estos casos de manera segura a fin de
poder también hacerlo un estándar para el desarrollo de
las aplicaciones. El front-End usado es Visual Basic,
ASP,Vbscript.


Muchas gracias por su ayuda.



Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.764 / Virus Database: 511 - Release Date: 15/09/2004

Preguntas similares