0
用戶有一個
ASPX頁面。SecureString和IIS?它有
textox輸入(用於密碼)。用戶填寫他的密碼。
該頁面被提交給IIS。
它首先去iis。
在這個階段,密碼在純文本內存中。
現在Asp.net把它的密碼放在安全字符串中。
做了一些計算後,頁面正在發送給客戶端。
從IIS POV:
他實際上仍然看到密碼爲純文本......是不是?
A
回答
3
根據您的故事,將密碼存儲在SecureString中是沒有意義的。它已經以普通字符串的形式出現在內存中,因此將其存儲回SecureString沒有用處。另外,當表單返回時,所有內容仍然會以純文本形式發回。
在這些情況下,最好是保護服務器 - 客戶端通信(即使用SSL),而不是試圖保護系統免受攻擊者的攻擊,他們可以訪問計算機,分析內存並提取密碼(! )。
1
讀取SecureString比較複雜。沒有簡單的ToString方法,這也是爲了保證數據的安全。要讀取數據,C#開發人員必須直接訪問內存中的數據。幸運的是,.NET Framework使它非常簡單。使用適當的System.Runtime.InteropServices.Marshal類的成員(例如SecureStringToBSTR方法)來操作SecureString對象的值。
IntPtr stringPointer = Marshal.SecureStringToBSTR(objSecureString);
string normalString = Marshal.PtrToStringBSTR(stringPointer);
相關問題
- 1. powershell和secureString類
- 2. Oracle DB和SecureString
- 3. JSON ToObject與SecureString
- 4. SecureString to Byte [] C#
- 5. SecureString的MVC中
- 6. SecureString vs Hash
- 7. SecureString與SecureKey問題
- 8. PowerShell ConvertTo-SecureString語法
- 9. 從SecureString .NET的CredUIPromptForCredentials
- 10. SecureString的在Javascript/angular2
- 11. C#app.config SecureString字符串不能重鑄爲SecureString
- 12. SecureString是隻寫類嗎?
- 13. 使用SecureString設置密碼
- 14. ConvertTo-SecureString沒有-AsPlainText -Force
- 15. 關於ConvertFrom-SecureString的信息
- 16. 淨SecureString的在Java中
- 17. 認沽SecureString的進入PasswordBox
- 18. Securestring和其他隱藏字符串數據的方法
- 19. 在SQL Server中存儲,檢索和驗證密碼(SecureString)
- 20. 批量從securestring中提取密碼
- 21. MySQL SecureString作爲連接字符串
- 22. 使用securestring進行sql連接
- 23. 替代SecureString的一個.NET標準庫?
- 24. WinRT中SecureString的等價物是什麼?
- 25. 安全使用SecureString登錄表格
- 26. SecureString如何「加密」並仍然可用?
- 27. 如何將SecureString從PSCredential傳遞給NetworkCredential?
- 28. 將字符串轉換爲SecureString
- 29. 使用自定義密鑰解密SecureString
- 30. 連續的SecureString散列不匹配