我的要求是应用程序安装过程的一部分包括需要 SA 权限的数据库设置和更新,但安装的 Windows 用户将没有该密码。
因此,我们的想法是使用嵌入 sa 密码并执行所有必需操作的安装程序应用程序。这将通过要求密码来启动基于某种算法的安装程序来进一步保护,该算法使其每天独一无二。
现在,我担心的是(以我现在掌握的知识(反映.net应用程序以轻松找出sa密码非常简单。所以,问题是我如何保护它。混淆是肯定的,但它永远不会那么好。
您可以转到加密应用程序部分的级别以隐藏机密值 - 但是如果您的应用程序能够解密它,您还需要将密钥存储在应用程序中。
DVD播放器就是一个很好的例子 - DVD使用称为内容加扰系统的系统进行加密,每个DVD播放器制造商在播放器本身上嵌入一个密钥,以便能够解密DVD。
问题是 - 如果最终用户的计算机能够运行您的代码,那么您将无法真正阻止他们访问密钥。对于某人来说,弄清楚你究竟是如何混淆这一点的只是时间和精力的问题。只要问问DeCSS应用程序的开发人员"DVD Jon"。
如果要确保信息的安全性,请不要将该信息放在用户可以访问的位置。将数据库托管在其他地方,并提供功能有限的用户凭据。
要么这样,要么接受用户将能够绕过安全性的事实,并为此做好计划(例如:不在本地做任何重要的事情(。