Załóżmy że pewna aplikacja łączy się z bazą danych. W takim wypadku aplikacja musi "znać" hasło do bazy, ale wtedy ktoś może wyciągnąć z takowej to hasło... Gdzieś czytałem że można to zrobić przez deassemblację.
Jak tego uniknąć?
PS; Zakładamy również że użytkownik aplikacji, nie zna hasła.
Kodujesz wszystkie string'i, np.piszesz:
const Menu='yqzg sqcizq'
A gdy chcesz odczytać, co jest zakodowane w menu piszesz:
WyswietlTekst(1, 1, Odkoduj(Menu));
Oczywiście 'WyswietlTekst' wyświetla tekst (tylko przykład funkcji), a 'Odkoduj' odkodowuje.
Można tutaj zastosować np.szyfr Cezara (pierwszy, który przychodzi mi do głowy), lecz także inne.
Łącz się z bazą używając IPoAC (RFC 1149), hasło wsadź w nośnik informacji, najlepiej z tyłu.
Takie tematy były już wałkowane tutaj chyba 1000 razy, to się staje powoli nudne. Powiem tylko, ze takie zabezpieczenie nie jest żadnym zabezpieczeniem. Potencjalnego atakującego nie bedzie nawet interesować jak to hasło jest zakodowane, wystarczy że podejrzy co zwraca funkcja Odkoduj i ma hasło w czystej postaci. Żadna magia, zwyczajny debugger i minimum wiedzy w temacie.
Z tym że nie zawsze będe miał fizyczny dostęp do maszyny. Np. chciałbym wysłać program kumplowi, ale nie chce żeby on odgadł hasło i edytował tylko ten "obszar" bazy na które pozwoli mu program.
To sobie zrób backend na serwerze, który będzie kontrolował czy nie przekraczasz uprawnień? :|