none
Login olan kullanıcıyı bellekte tutma RRS feed

  • Soru

  • Merhabalar desktop uygulamamda login olan  kullanıcıyı UserManager içinde static tipte bir User eleman olarak kaydediyorum. daha sonra işlemler sırasında gereksinim duydukça bir metod yardımıyla buradan çekip kullanıyorum. Mantığın hatalı olup olmadığını soracağım ama asıl merak ettiğim bu durumun güvenlik açısından bir zaafiyet doğurup doğurmadığı. Beni bu konuda aydınlatmanızı rica ediyorum. Şimdiden teşekkürler
    21 Eylül 2020 Pazartesi 21:32

Yanıtlar

  • Eğer Database tarafında Windows Security gözetmeden bir tablo yapısı oluşturduysanız, sizin programınıza dokunmadan sql management studio ile sql server'e bağlanıp yetkilerimi full yapıp, programını açabilirim. Bu durumda senin sorduğun kullanıcı ve parolanın hiçbir koruyuculuğu kalmaz.

    Ama sql serverde "falan windows gurubundaki kullanıcılar bu tablolara, filan gurubundakiler şu tablolara veri yazabilir/okuyabilir" şeklinde bir security kurarsam, domainde ya da sunucuda admin olmayan hiç kimse kesinlikle uygunsuz bir şey yapamaz.

    Böylece domainde oturum açan kişiyi rol bazında authorize etmiş olurum. Authenticate kısmını zaten windows login ekranında yapıyor.

    Ben bunları söyleyince bana cüzzamlı gibi bakanlar sql serveri mixed kurup sa kullanıcılı connection stringler yazıyor o ayrı konu. Bide gelip buraya connection stringi nasıl gizlerim diye konu açıyorlar.


    e-mail: onay[nokta]yalciner[at]hotmail[nokta]com

    • Yanıt Olarak İşaretleyen Harezmi 23 Eylül 2020 Çarşamba 06:07
    22 Eylül 2020 Salı 20:01
    Moderatör

Tüm Yanıtlar

  • O güvenlik diye aldığınız şeyin hiçbir koruyuculuğu ve anlamı yok. Eğer o cihazda admin olarak oturum açtıysa, sizin ram de tuttuttuğunuz bu veri ile neden uğraşsın adam? direk sql'e bağlanır. Güvenlik Windows oturumu açılırken başlar.

    e-mail: onay[nokta]yalciner[at]hotmail[nokta]com


    21 Eylül 2020 Pazartesi 21:45
    Moderatör
  • örneğin yeni bir form yükleneceği zaman kullanıcının yetkilerini kontrol edilip bazı kontrollerin visible enable durumları düzenlemek için böyle bir yönteme başvurdum. kastettiğinz şey durumun sql den sorgulanması mı ? kullanıcının bilgilerini her seferinde DB'den mi sorgulamak gerekiyor. 
    22 Eylül 2020 Salı 09:04
  • örneğin yeni bir form yükleneceği zaman kullanıcının yetkilerini kontrol edilip bazı kontrollerin visible enable durumları düzenlemek için böyle bir yönteme başvurdum. kastettiğinz şey durumun sql den sorgulanması mı ? kullanıcının bilgilerini her seferinde DB'den mi sorgulamak gerekiyor. 
    Hayır o sql açıktaysa -ki öyle duruyor- kullanıcı neden programın ile uğraşsın ki?

    www.cihanyakar.com

    22 Eylül 2020 Salı 13:30
  • Eğer Database tarafında Windows Security gözetmeden bir tablo yapısı oluşturduysanız, sizin programınıza dokunmadan sql management studio ile sql server'e bağlanıp yetkilerimi full yapıp, programını açabilirim. Bu durumda senin sorduğun kullanıcı ve parolanın hiçbir koruyuculuğu kalmaz.

    Ama sql serverde "falan windows gurubundaki kullanıcılar bu tablolara, filan gurubundakiler şu tablolara veri yazabilir/okuyabilir" şeklinde bir security kurarsam, domainde ya da sunucuda admin olmayan hiç kimse kesinlikle uygunsuz bir şey yapamaz.

    Böylece domainde oturum açan kişiyi rol bazında authorize etmiş olurum. Authenticate kısmını zaten windows login ekranında yapıyor.

    Ben bunları söyleyince bana cüzzamlı gibi bakanlar sql serveri mixed kurup sa kullanıcılı connection stringler yazıyor o ayrı konu. Bide gelip buraya connection stringi nasıl gizlerim diye konu açıyorlar.


    e-mail: onay[nokta]yalciner[at]hotmail[nokta]com

    • Yanıt Olarak İşaretleyen Harezmi 23 Eylül 2020 Çarşamba 06:07
    22 Eylül 2020 Salı 20:01
    Moderatör
  • Şimdi Bu benim için kıymetli bir bilgi oldu işte. Teşekkürler 
    23 Eylül 2020 Çarşamba 06:08