NetworkCredentials以纯文本形式公开密码
我即将在我的C#/ WPF应用程序中创建一个身份验证模块。要对用户进行身份验证,我想使用NetworkCredential来存储凭据。
Credential = new NetworkCredential(credential.UserName, credential.Password);
credential.UserName为string且credential.Password属于SecureString类型。调试应用程序时,我可以在纯文本和安全字符串中看到密码
为什么密码是以纯文本形式公开的?这不是一个可能的安全威胁吗?
感谢您的回答。
编辑:
对于记录,NetworkCredential对象应在WCF客户端上使用,如下所示:
client.ClientCredentials.Windows.ClientCredential = Credentials
2 个答案:
答案 0 :(得分:12)
NetworkCredential内部always stores the password作为SecureString:
public string Password {
get {
ExceptionHelper.UnmanagedPermission.Demand();
return InternalGetPassword();
}
set {
m_password = UnsafeNclNativeMethods.SecureStringHelper.CreateSecureString(value);
}
}
如果有人需要以纯文本形式检索密码(在某个时候需要这个密码来自此类或链接的某个地方),那么retrieves it from the secure string:
internal string InternalGetPassword() {
string decryptedString = UnsafeNclNativeMethods.SecureStringHelper.CreateString(m_password);
return decryptedString;
}
使用调试器时,它显示属性,因此从SecureString
答案 1 :(得分:1)
SecureString与加密无关! (一个粗略的过度简化 - 它可能它它也被加密了,但这里并不重要;如果你从普通SecureString创建一个string,你已经否定了很多获得SecureString - 短期)
它只是一个可以确定性地解除分配的字符串。出于安全原因,这很重要,因为.NET字符串可能非常长(对于实习字符串,应用程序的整个生命周期)。
NetworkCredential不用于存储凭据 - 它只是一个简单的旅行车,可以让它们到达目的地 - 基本上是一个常见的API。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?