初日 最新 目次 MAIL HOME

*-- To Tell The Truth --*
Cruz
MAIL
HOME

My追加

2002年01月16日(水)
システム考察

開発中のシステムは、DBクライアントアプリケーションである。
アクセスするDBの登録データは、カナーリな○秘個人情報である。
誰でも彼でも使えてしまうと、マズいアプリケーションである。

開発の話しが出た当初から、オヤジ暗号化と騒いでいた。
オヤジの言う暗号化とは、

DB接続のID,Passwordを
XXX.iniファイルとして置き、
そのファイル内に記述されている
Passwordをエンコードしておく

ということだった。

そして、暗号化関数として提供されたのは、デコード関数のみであった。

とりあえず、無視して開発を始めたが、いよいよ無視することができなくなった。


・・・よく考えてみよう。

セキュリティについて考え、
Passwordの暗号化を思いついたのであれば、
この方法では穴がありすぎる。

●手製の暗号化関数なんて調べりゃ簡単にキーがバレバレ。
●DBサーバーに直接ログインする方法を知らなくても、本開発アプリを立ち上げてしまえば、DB登録データの取得は簡単。
●本開発アプリを立ち上げっぱなしで離席した場合、DB登録データが丸見え。
●そもそも、DBサーバーのログイン情報をファイルで置いておく方が問題。


以上の点からしても、この暗号化は無意味。


せっかくw2kで開発しているので、私としては・・・

●w2k登録ユーザーによって、アプリ起動に制限をかける。
(特定ユーザーでw2k起動時にログインした時のみ、アプリも起動できるようにする)
●アプリ起動時にDBユーザーIDとPasswordを入力し、実際にDBコネクトしてログインチェックをする。
(DBユーザーIDとPasswordを知る人しか、アプリ起動も行えない)
●離席時対策として、w2kのスクリーンセーバー設定でパスワードによる保護をチェックしておく。
(w2k登録ユーザーのパスワードを再入力しないと、画面表示ができない)

これにできると、暗号化とか余計な処理を作らなくてすむんだけどなぁ。


上手く説明しないとまた・・・

屁理屈ばかり言うんじゃない

って言われるんだよな。
こっちだって

もう少しSEらしい仕事して下さい

って言ってやりたいよ。・・・ったく。

システムの全体を把握できないから、何が重要なのかも理解してないくせに。
どこで仕入れてきたか知らないが、なんでもかんでも「暗号化」って騒ぐんじゃない。