русский
Germany.ruForen → Архив Досок→ Programmierung

Как лучше хранить "секретную" инфу в базе

29.05.23 18:51
Re: Как лучше хранить "секретную" инфу в базе
 
Murr патриот
Murr
in Antwort AlexNek 29.05.23 17:59

Первом логине куда?

-----

В AD, разумеется. вебовский юзер должен мапится туда же.


А то что теперь систему хрен восстановишь - не волнует.

-----

А должно? Там же черным в цвете написано - восстановление херов - за углом ( там груша и ее надо околачивать)...



А с совершенно другого веб приложения...

-----

Так без разницы.

Разница в том, что права веб-юзера от которого запускается исполняемый на иис-сервере код сильно специфические в сравнении с обычным ад-юзером.

По-простому обычный юзер не может запускать что-либо из под иис.



Другой админ который имеет доступ?

-----

Нет. Делать будет тот админ у которого есть разрешение давать доступ, но нет прав доступа.

Посмотри какие роли и права доступны и как настраивать. Настраивать легче чем писать код.


кажется имелось другое

------

А тебе какая разница?

У тебя будут :

- пользователь

- ресурс (зашифрованный)

- ключ шифрации

Ты хочешь, чтобы у каждого пользователя был свой доступ к ресурсу.

Дальше начинаются пляски с бубном по поводу разграничения доступа многих пользователей к одному ресурсу.

Простейший шифратор - хор с большим известным файлом, более сложный - тот хор, но с генерируемой последовательностью.

Генератор может быть сложным, но должен воспроизводить ту же последовательность при одинаковой инициализации.

Могу сразу сказать, что не знаю ни одного генератора позволяющего получить одинаковые последовательности при разных инициациях.

Возможно что есть, но скорее всего происходит кроссинг логина в какую-то инициализацию и сейчас ты мучаешься с выбором где хранить этот инициализатор.

Твоя проблема - инициализатор - одинаковый для всех и ты не хочешь отдавать его юзерам, а вот куда его спрятать пока не решил.


Как бы ты не изворачивался, но как-то кроссировать логин в инициализатор тебе надо. Можно слать с клиента, но неудобно

Так что если не хочешь пользовать стандарт - АД - для менеджмента - выделяй отдельный АД на физическом сервере без доступа из инета и клепай там кроссер.

Будет другой админ, без прав админить/аксесить твой стандартный домен и будет заниматься только раздачей ключей.


Но я бы не заморачивался - воткнул стандартное шифрование и разграничил доступ



Из хитровымудренных варианов есть такой.

Винда на НТФС позволяет писать несколько файлов под одним именем. Винда показывает только "верхний"(первый) из файлов.

При стандартном копировании так же копируется только "верхний" из файлов, дополнительные - не копируются.

Так что пихай туда что хочешь.


 

Sprung zu