¿ como protegeis la cadena de conexion ?

Hola a todos, os cuento, estoy utilizando VB.NET 2010 y me conecto remotamente a una base de datos MySQL, la cuestion es...

En el archivo de configuración My, es donde pongo la cadena de conexión a MySQL, en donde aparece, ademas de el servidor el nombre del usuario y la contraseña de la misma.

Mi miedo es, ante un eventual "desamblado", esos datos estarían tal cual...

¿ Como tratáis vosotros este tema ?

Un cordial saludo y gracias.

Hola

La forma mas facil es usar un cifrado de doble via, para que puedas cifrar el string de conexion y a la hora de leer, invertir ese cifrado.

Yo lo realizo en mis aplicaciones con el metod Rijndael, investiga un poco sobre esto en internet hay ejeplos.

Recomendacion:
Los metodos de cifrado de doble via utilizan una clave para cifrar e invertir le cifrado, no uses una clave "facil".

Saludos

Gracias jhonwilliams, pero no me vale este sistema porque para acceder a MySQL utilizo la biblioteca que hay para .NET, y la opción de desencriptar una vez llega al servidor no se si existe opción de hacerlo.

En cualquier caso imagino que como mucho lo que podría hacer es ofuscarlo, porque igualmente si pongo encriptada la contraseña en el programa al descompilarlo si conocen mi metodo de encriptacion igualmente podrían desencriptarlo.

Mi idea era algún sistema de un solo paso, es decir que no se pueda desencriptar pero igualmente si lo decompilan, creo que seguirá viéndose fácilmente.

Creo que es un tema complicado este realmente, en un futuro acabare utilizando webservices, pero no lo veo lo mas optimo.

Un saludo

Ya esta tocando varios puntos.

No se recomienda poner en ningun caso la cadena de conexion dentro del programa, porque si tienes que cambiarla te tocaria generar una nueva compilacion de la misma.

Aca si me perdi, por tambien utiliso la biblioteca oficial de MySQLConnector y no tengo lio con esto.

Si lo haces con un sistema de un paso, como vas a leer luego la conexion?, cuando la leas vas a ver algo como esto:

Cifrado en SHA512
Esa linea es un cifrado de una sola via, si no la puedo invertir, como voy obtener una cadena de conexion valida al servidor?

Basicamente la idea de lo que tu necesitas se resume asi:

1. En el archivo de configuracion va la cadena cifrada
2. en la aplicacion, lees la cadena de conexion, inviertas el cifrado y lo asignas a la MySQLConnection con la cual vas a trabajar.
3. La idea de ofuscar la aplicacion no es mala, yo tambien lo hago.
4. Mis claves de cifrado (el key que cifra e invierte el cifrado) son GUID, asi que son un poco mas complejas para que las adivinen, algo asi como:

{54729436-D327-437c-B42E-E1616625FB9F}

Y esa misma clave se usa para cifrar y para invertir.


Saludos

jhonwilliams, nuevamente gracias por prestarme tu tiempo para responder.

Creo que ahora empezamos a entendernos, mejor dicho creo que ahora te he entendido mucho mejor.

Haré esto que comentas, pienso que alguien que quiera podría desofuscar la aplicación y encontrar en algún punto esta clave que invierte el cifrado tal cual, pero claro... sin duda es mucho mas rebuscado y perderán mas tiempo.

Gracias nuevamente jhonwilliams

Partamos de algo.

Por mas que queramos proteger una aplicacion "siempre" estara alguien tratando de romper la seguridad.

El ofuscar el codigo no es la forma infalible, pero al menos dificulta un poco el objetivo.

Que ofuscador utilizas?

Saludos