Categories: MobileMobile AppsSoftware

.NET-Framework sicher nutzen: So verschlüsselt man Konfigurationsdateien

Das Verschlüsseln von Konfigurationsdaten erhöht die Sicherheit einer Anwendung. Arglistigen Benutzern wird es erschwert, die Daten auszulesen – selbst dann, wenn sie auf die Konfigurationsdatei zugreifen. In ASP.NET gibt es zwei geschützte Konfigurations-Provider: RSAProtectedConfigurationProvider und DPAPIProtectedConfigurationProvider.

RSAProtectedConfigurationProvider verwendet den RSACryptoServiceProvider, um Konfigurationsabschnitte mittels RSA-Public-Key-Verschlüsselung zu ver- und entschlüsseln. Der DPAPIProtectedConfigurationProvider benutzt dagegen das Windows Data Protection API (DPAPI), um Konfigurationsabschnitte mithilfe der in Windows enthaltenen Kryptografie-Funktionen zu verschlüsseln. Bei Bedarf kann man auch eigene geschützte Einstellungs-Provider erzeugen. Während Benutzer es schwer haben werden, mit den verschlüsselten Daten zu arbeiten, hat ASP.NET damit keine Probleme. Beide Provider können in ASP.NET-Code verwendet werden.

Wie verwendet man den Code?

Das .NET-Framework 2.0 erlaubt das Verschlüsseln der meisten Konfigurationsabschnitte der Dateien Web.config oder machine.config. Der Namensraum System.Web.Configuration dient zum Verschlüsseln von Konfigurationsdateien mittels Code. Er enthält zwei Methoden mit Bezug zur Verschlüsselung: ProtectSection und UnprotectSection.

  • ProtectSection markiert einen zu schützenden Konfigurationsabschnitt. Der Name des für die Verschlüsselung zu verwendenden Providers wird als einziger Parameter (ein String-Wert) an die Methode weitergegeben.
  • UnprotectSection entfernt die geschützte Konfigurationsverschlüsselung vom damit verbundenen Konfigurationsabschnitt. Hier gibt es keine Parameter.

Beispielhaft demonstriert die folgende einfache web.config-Datei für ASP.NET Ver- und Entschlüsselung von Konfigurationsdaten:

Der folgende VB.NET-Code aus einem ASP.NET-Web-Formular verschlüsselt den Dateiabschnitt connectionStrings.

Der Code führt die folgenden Schritte aus:

  • Er verwendet den Namensraum System.Web.Configuration, um mit den notwendigen Klassen zu arbeiten.
  • Er greift über die Methode OpenWebConfiguration der Klasse WebConfigurationManager auf die web.config-Datei der Anwendung zu.
  • Er greift über die Methode GetSection auf den Abschnitt connectionStrings der Datei web.config zu.
  • Der Abschnitt wird mit dem mitgelieferten Verschlüsselungssystem von Windows verschlüsselt, wenn die Datei nicht gesperrt ist.
  • Die Änderungen an der Datei werden gespeichert.

Page: 1 2 3

ZDNet.de Redaktion

Share
Published by
ZDNet.de Redaktion
Tags: .NETAnwendungsentwicklungSoftware
17 Jahren ago

Recent Posts

Jedes zweite Gerät mit Redline-Infostealer infiziert

Infostealer-Infektionen haben laut Kaspersky-Studie zwischen 2020 und 2023 um mehr als das sechsfache zugenommen.

4 Stunden ago

Kaspersky warnt vor kritischen Sicherheitslücken in Cinterion-Modems

Betroffen sind Millionen IoT- und M2M-Geräte Geräte weltweit. Unter anderem können Angreifer per SMS Schadcode…

9 Stunden ago

Google schließt Zero-Day-Lücke in Chrome

Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.

3 Tagen ago

KI erkennt Emotionen in echten Sportsituationen

Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…

4 Tagen ago

Ermittlern gelingt weiterer Schlag gegen Ransomware-Gruppe LockBit

Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…

5 Tagen ago

Apple stellt neuen Mobilprozessor M4 vor

Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…

5 Tagen ago