Siamo alle solite. Alla fine c’è sempre una password storata nel codice per superare delle difficoltà organizzative lato security (aka costringere gli utenti ad utilizzare una loro pwd etc. etc.).
Comunque qualsiasi sia il metodo di obfuscation che usi, con un debugger, eseguendo passo passo l’applicazione, riesci a “scovare” la password finale. Quindi ti puoi inventare il mondo, ma se “laqualunque" ha accesso (pieno) a quel PC sei comunque nei guai. Però, visto che lo faccio anche io perché poi alla fine è più importante far “girare” le cose che tenerle spente perché insicure, mi viene in mente che potresti fare un processo watchdog esterno che ogni tot mesi/gg (decidi tu), killa l’applicazione, fa il download da un tuo sito trusted e aggiorna l’applicazione con una “nuova” versione con nuova password storata inside. Se la pwd ti serve per accedere al DB che sarà da un’altra parte e quindi raggiungibile anch’esso in remoto, dovrai cambiare in modo sincrono la pwd anche qui. Più complicato il giro, ma almeno hai una rotazione della credenziale che costringe a far rifare il giro ai cattivoni di turno. Ma usare una chiavetta USB con a bordo un certificato con chiave privata per l’autenticazione? Consegnare una procedura in cui la chiavetta va richiesta ad un responsabile che ne tiene traccia? Troppo complesso per il tuo ambiente? Potresti comunque proporlo come alternativa. Se non te lo accettano e ti avallano la pwd storata nel codice allora se la saranno cercata…a buon intenditor poche parole :) bye r > Il giorno 07 mar 2016, alle ore 13:06, Giuseppe Paternò (Gippa) > <[email protected]> ha scritto: > > Ciao! > > E' troppo lunga da spiegarvi, ma devo "schiantare" nel codice una password. > L'ambiente non e' controllato, quindi meglio che un file di configurazione o > -peggio- un passaggio a command line o via envvars. > > Ora, non pretendo la sicurezza assoluta visto il contorno, ma vorrei evitare > che con un semplice hexdump venga fuori la password.... almeno lo faccio > impegnare un po' > > Cosa mi consigliate per fare una string ubfuscation, preferibilmente in > golang? > Ciao ciao, > Gippa ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
