none
Blazor Project Sicherheit RRS feed

  • Frage

  • Hallo, wie (un)sicher ist ein Azure SQL Passwort das in einer Blazor, appsettings.json Datei gespeichert ist? 

    z.B. "servConnection": "Data Source=serv.database.windows.net;Initial Catalog=serv;User ID=user;Password=12345;...

    Das Projekt ist in einer Azure Ressource veröffentlicht und ohne Key Vault!   Ist Key Vault notwendig? Wenn ja wo finde ich eine Anleitung für Blazor? Bitte um Support, merci, marcel 

    Freitag, 26. März 2021 13:50

Antworten

  • Hallo Marcel,

    Ein Passwort in der appsettings.json-Datei zu speichern ist keine sichere Vorgehensweise.

    Ist Key Vault notwendig? Wenn ja wo finde ich eine Anleitung für Blazor?
    Um sensible Informationen sicher zu speichern, kann auf den Schlüsseltresor (Key Vault) mit dem Azure Cloud Shell zugegriffen werden. Nachdem ein Schlüsseltresor in einer Ressourcengruppe erstellt wurde, lassen sich Benutzernamen und Passwörter als Name/Wert-Paare problemlos speichern. Dieses Verfahren eignet sich für Produktivumgebungen. Für weitere Informationen sieh Dir diesen Artikel an:
    Azure Key Vault configuration provider in ASP.NET Core

    Neben dem Schlüsseltresor (Key Vault), den Du schon erwähnt hast, steht Dir in .NET das Secret Manager-Werkzeug zur Verfügung, das auf Entwicklungsumgebungen ausgerichtet ist. Dadurch kann eine zusätzliche secrets.json-Datei befüllt werden. Wenn Du auch dieses Verfahren ausprobieren möchtest, klicke mit der rechten Maustaste auf das Projekt in der Projektmappe, wähle Geheime Benutzerschlüssel verwalten (Manage User Secrets) und gehe die übrigen Schritte in diesem Artikel durch:
    Secret Manager

    Gruß,
    Dimitar


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Samstag, 27. März 2021 20:29
    Moderator

Alle Antworten

  • Hallo Marcel,

    Ein Passwort in der appsettings.json-Datei zu speichern ist keine sichere Vorgehensweise.

    Ist Key Vault notwendig? Wenn ja wo finde ich eine Anleitung für Blazor?
    Um sensible Informationen sicher zu speichern, kann auf den Schlüsseltresor (Key Vault) mit dem Azure Cloud Shell zugegriffen werden. Nachdem ein Schlüsseltresor in einer Ressourcengruppe erstellt wurde, lassen sich Benutzernamen und Passwörter als Name/Wert-Paare problemlos speichern. Dieses Verfahren eignet sich für Produktivumgebungen. Für weitere Informationen sieh Dir diesen Artikel an:
    Azure Key Vault configuration provider in ASP.NET Core

    Neben dem Schlüsseltresor (Key Vault), den Du schon erwähnt hast, steht Dir in .NET das Secret Manager-Werkzeug zur Verfügung, das auf Entwicklungsumgebungen ausgerichtet ist. Dadurch kann eine zusätzliche secrets.json-Datei befüllt werden. Wenn Du auch dieses Verfahren ausprobieren möchtest, klicke mit der rechten Maustaste auf das Projekt in der Projektmappe, wähle Geheime Benutzerschlüssel verwalten (Manage User Secrets) und gehe die übrigen Schritte in diesem Artikel durch:
    Secret Manager

    Gruß,
    Dimitar


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Samstag, 27. März 2021 20:29
    Moderator
  • Vielen Dank, leider aber noch kein Erfolg. Ich habe in Azure ein SECRET in KeyVault erstellt und eine Verbindung mit VS19, dies generiert dann folgndes in der Datei program.cs ...

            public static IHostBuilder CreateHostBuilder(string[] args) =>
                Host.CreateDefaultBuilder(args)
    .ConfigureAppConfiguration((context, config) =>
    {
    var keyVaultEndpoint = new Uri(Environment.GetEnvironmentVariable("VaultUri"));
    config.AddAzureKeyVault(
    keyVaultEndpoint,
    new DefaultAzureCredential());
    })
                    .ConfigureWebHostDefaults(webBuilder =>
                    {
                        webBuilder.UseStartup<Startup>();
                    });

    ... aber das funktioniert noch nicht, ich vermute es fehlen noch Einträge (Geheimniss ID und Wert ?) in appsettings.json, jedoch weiss ich nicht was und wie! 

    Bitte um Infos was noch zu konfigurieren ist, merci 

    marcel

    Dienstag, 6. April 2021 11:50