Categories: MobileMobile AppsSoftware

.NET-Framework sicher nutzen: So verschlüsselt man Konfigurationsdateien

Das Verschlüsseln von Konfigurationsdaten erhöht die Sicherheit einer Anwendung. Arglistigen Benutzern wird es erschwert, die Daten auszulesen – selbst dann, wenn sie auf die Konfigurationsdatei zugreifen. In ASP.NET gibt es zwei geschützte Konfigurations-Provider: RSAProtectedConfigurationProvider und DPAPIProtectedConfigurationProvider.

RSAProtectedConfigurationProvider verwendet den RSACryptoServiceProvider, um Konfigurationsabschnitte mittels RSA-Public-Key-Verschlüsselung zu ver- und entschlüsseln. Der DPAPIProtectedConfigurationProvider benutzt dagegen das Windows Data Protection API (DPAPI), um Konfigurationsabschnitte mithilfe der in Windows enthaltenen Kryptografie-Funktionen zu verschlüsseln. Bei Bedarf kann man auch eigene geschützte Einstellungs-Provider erzeugen. Während Benutzer es schwer haben werden, mit den verschlüsselten Daten zu arbeiten, hat ASP.NET damit keine Probleme. Beide Provider können in ASP.NET-Code verwendet werden.

Wie verwendet man den Code?

Das .NET-Framework 2.0 erlaubt das Verschlüsseln der meisten Konfigurationsabschnitte der Dateien Web.config oder machine.config. Der Namensraum System.Web.Configuration dient zum Verschlüsseln von Konfigurationsdateien mittels Code. Er enthält zwei Methoden mit Bezug zur Verschlüsselung: ProtectSection und UnprotectSection.

  • ProtectSection markiert einen zu schützenden Konfigurationsabschnitt. Der Name des für die Verschlüsselung zu verwendenden Providers wird als einziger Parameter (ein String-Wert) an die Methode weitergegeben.
  • UnprotectSection entfernt die geschützte Konfigurationsverschlüsselung vom damit verbundenen Konfigurationsabschnitt. Hier gibt es keine Parameter.

Beispielhaft demonstriert die folgende einfache web.config-Datei für ASP.NET Ver- und Entschlüsselung von Konfigurationsdaten:

Der folgende VB.NET-Code aus einem ASP.NET-Web-Formular verschlüsselt den Dateiabschnitt connectionStrings.

Der Code führt die folgenden Schritte aus:

  • Er verwendet den Namensraum System.Web.Configuration, um mit den notwendigen Klassen zu arbeiten.
  • Er greift über die Methode OpenWebConfiguration der Klasse WebConfigurationManager auf die web.config-Datei der Anwendung zu.
  • Er greift über die Methode GetSection auf den Abschnitt connectionStrings der Datei web.config zu.
  • Der Abschnitt wird mit dem mitgelieferten Verschlüsselungssystem von Windows verschlüsselt, wenn die Datei nicht gesperrt ist.
  • Die Änderungen an der Datei werden gespeichert.

Page: 1 2 3

ZDNet.de Redaktion

Share
Published by
ZDNet.de Redaktion
Tags: .NETAnwendungsentwicklungSoftware
17 Jahren ago

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago