StringBuilderをセキュアな文字列に変換します。

Question

接続文字列を暗号化および復号化しようとしています。以下は暗号化に使用されるコードです。コードをSSA Fortifyにすると、以下のようなエラーが出ます。

xyz.csは、機密データを安全でない方法で格納し、 がヒープを検査してデータを抽出できるようにします。

public static int GetSaltSize(byte[] pBytes) 
{ 
     var key = new Rfc2898DeriveBytes(pBytes, pBytes, 1000); 
     byte[] ba = key.GetBytes(2); 
     StringBuilder sb = new StringBuilder(); 
     for (int i = 0; i < ba.Length; i++) 
     { 
     sb.Append(Convert.ToInt32(ba[i]).ToString()); 
     } 
     int saltSize = 0; 
     string s = sb.ToString(); // <--- insecure? 
     foreach (char c in s) 
     { 
     int intc = Convert.ToInt32(c.ToString()); 
     saltSize = saltSize + intc; 
     } 
     return saltSize; 
} 

我々はSecureStringにStringBuilderを変換することができますか解決策になることができますどのような場合は私に知らせてください。

Answer 1

機密データをメモリに保存する専用のSecureStringクラスがあります。私はあなたのコードは、シリアル化された表現のヘッダーとして塩のサイズを追加していると思います。代わりにProtectedDataクラスを介してDPAPIを使用してください。接続文字列やその他の機密情報を安全に保存できます。

の場合、機密性の高い接続文字列を使用して、データベース接続文字列（例：SqlConnection）について考えてみます。その後、.Net接続API は、資格情報を初期化する安全な方法を公開しません。ユーザー名/パスワードは、データベース接続クラスにプレーンテキストで表示する必要があります。 SQL Server接続について話している場合、接続文字列にセンシティブな情報を必要としない統合認証を使用する必要があります。

Answer 2

あなたがメモリにたらint型を保存するのではなく3回されていないので、メモリ内の値を持っていないためにあなたの試みは、それを確保するために、すべてでみましたがないより悪いです：

• 初回：sb.Append(Convert.ToInt32(ba[i]).ToString());
• セカンド時間：sb.ToString();
• 3回目：Convert.ToInt32(c.ToString());

したがって、各値は2回、完全な文は1回です。塩does not need to be secret以来

---

、ひいてははないか、その長さをして、あなたのコードは次のようになります。

public static int GetSaltSize(byte[] pBytes) 
{ 
    var key = new Rfc2898DeriveBytes(pBytes, pBytes, 1000); 
    byte[] ba = key.GetBytes(2); 
    return ba.SelectMany(x => ((int)x).ToString().ToCharArray()).Sum(); 
}