- PR -

INI ファイルに書かれた DB 接続文字列について

1
投稿者投稿内容
あー
会議室デビュー日: 2008/05/09
投稿数: 8
投稿日時: 2008-05-28 09:04
お世話になります。あーといいます。

現在社内システムのセキュリティ周りを見直しているところです。
その中で、社内システムの DB 接続文字列が INI ファイルにパスワード入りで書かれているのがいくつかありまして、これだとユーザーが見れるので問題となっております。
ただこのような状態はよくあるかと思うのですが、皆さんはどう対策を取っているのでしょうか?INI ファイルの暗号化等でしょうか?

社内システムは VB5 や VB6 で作成されており、基本的に INI ファイルを読んで、DB 接続する仕組み自体は変えたくありません。あまりコーディングに時間をかけられないのですが、上記のような仕組みで DB 接続しているシステムが複数存在するので、単純にはユーザーに分からないレベルにはもっていきたいと思います。

どなたか情報提供お願いいたします。
こあら
大ベテラン
会議室デビュー日: 2007/06/26
投稿数: 157
投稿日時: 2008-05-28 09:28
Blowfishでファイルを丸ごと暗号化していました。
暗号キーはexeにべた書き。
甕星
ぬし
会議室デビュー日: 2003/03/07
投稿数: 1185
お住まい・勤務地: 湖の見える丘の上
投稿日時: 2008-05-28 09:34
方法は色々ありますよ。

理想を言うなら下記のような方法でしょうか。
・Windows統合認証などを使用する。
・ユーザ毎にログインIDとパスワードを割り当て、ユーザに入力させる。
・DCOMやWEBサービスを介在させる。
・管理者以外がアクセスできない領域にデータを保存する。
 通常は制限ユーザでログインし、接続処理などをローカルサービスとして実装する。

手を抜くならデータを暗号に・・・。
1

スキルアップ/キャリアアップ(JOB@IT)