WinFormsApp Login将信息传递给.php(基于服务器)登录(提供的凭据正确)到DB以检索解密密钥。然后,WinFormsApp在硬编码加密连接字符串上使用解密密钥,并使应用程序可用。
这将消除在运行时加密/解密连接字符串的必要性,实际上使任何未经授权的人使用无用的软件。
我的思考过程有什么不对吗?
答案 0 :(得分:1)
如果解密密钥以纯文本形式发送回WinForms应用程序,那么这在技术上就是一个安全漏洞。但是,既然你只能在成功进行身份验证后才能获得它,那么它会有所缓解。要将安全条提高一点,可以使用两端的硬编码加密密钥加密解密密钥。这并非完全是万无一失的,但有时候安全并不是100%的傻瓜证明,它只是提高了标准。这取决于它需要多么安全。更彻底的安全设计是让服务器端进行所有数据访问,这样客户端就不需要连接字符串,但我确信需要进行大量的重新设计。或者,如果是SQL Server,则可以使用集成安全性。