如果我理解正确,这是为了避免将纯文本存储在内存中,从而使应用程序免受针对内存、垃圾堆或分页到磁盘的奇特攻击,SecureString接收非托管字节并以一个非托管字节的方式消耗-然后将字符串从内存中擦除。(如果我理解错了,请纠正我!)
在ASP.NET中,密钥在Web表单中进行收集,然后通过HTTPS进行提交。但是,请求对象将表单中的所有请求值转换为名称-值对,并将它们放入一个集合中,例如Request["TxtPassword"]-因此,在我获取字符串之前,它已经被不安全地写入了内存。更糟糕的是,如果我在使用控件,则文本框的属性中将包含更多托管字符串的不安全表示。
要对此SecureString执行任何操作,我需要一个接受非托管字符串的API-因此,似乎我无法将SecureString用于存储过程参数或其他大部分操作。
我是做错了什么,还是试图使用SecureString而不将未安全的字符串副本泄漏到托管内存中是愚蠢的行为?
切换到OAuth或Windows身份验证不是选项。
正如您正确推断的,并且其他人已经提到的,使用SecureString来存储来自ASP.NET表单的安全敏感数据是没有多大意义的,因为该数据已经以明文形式存在于内存中。
然而,在其他情况下,建议使用SecureString,因为敏感数据是由程序本身创建的,并且在处理完后不应该继续留在内存中。例如,通过编程方式创建SharePoint网站,或将认证凭据从一个系统传输到另一个系统。
回想过去,确保敏感数据寿命尽可能短是更容易的。它可以在栈上分配并在程序使用完毕后立即清除:
char secret[512];
generate_secret(secret, sizeof(secret));
do_something_with(secret);
memset(secret, 0, sizeof(secret));
// Secret data is now gone.
然而,使用托管字符串并不可能采用这种方法,主要是因为:
SecureString 通过可变和可处理来解决这个问题,使得可以编写如下代码:
using (SecureString secret = new SecureString()) {
GenerateSecret(secret);
secret.MakeReadOnly();
DoSomethingWith(secret);
}
// Secret data is now gone.
SecureString来保护它不会带给你任何好处(或者用更 - Frédéric Hamidi我认为你已经掌握了基础知识。SecureString是从客户端的角度设计的。因此,对于WPF/Winforms应用程序(也许Silverlight中也有,我记不清了),它非常有价值。但对于服务器端应用程序来说,它的价值就不那么大了,因为它不是第一个处理字符串的。
我在进行安全代码审查时,唯一会标记缺少使用SecureString的情况是,当应用程序可能加密并重复使用数据时。
例如,当网站后端需要与需要凭据的第三方或另一个内部资源通信时。由于这些无法哈希,因此在需要构建请求时(也应该通过TLS),我将使用SecureString。
另一种选择是尽可能使用Windows Data Protection API。
请注意,SecureString的目的是尽可能短地保留内存中的内容。