De la Seguridad del acceso a datos en aplicaciones ASP ... - Willy .Net
De la Seguridad del acceso a datos en aplicaciones ASP ... - Willy .Net
De la Seguridad del acceso a datos en aplicaciones ASP ... - Willy .Net
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
e. Configure permisos <strong>del</strong> modo <strong>en</strong> que se explica a continuación.<br />
4. Conceda al usuario de <strong>la</strong> base de <strong>datos</strong> permisos de selección <strong>en</strong> <strong>la</strong>s tab<strong>la</strong>s a<br />
<strong>la</strong>s que es necesario t<strong>en</strong>er <strong>acceso</strong> y permisos de ejecución <strong>en</strong> cualquier<br />
procedimi<strong>en</strong>to almac<strong>en</strong>ado importante.<br />
Nota: Si el procedimi<strong>en</strong>to almac<strong>en</strong>ado y <strong>la</strong> tab<strong>la</strong> son propiedad de una misma<br />
persona y el <strong>acceso</strong> a <strong>la</strong> tab<strong>la</strong> se realiza únicam<strong>en</strong>te a través <strong>del</strong><br />
procedimi<strong>en</strong>to almac<strong>en</strong>ado (y no es necesario t<strong>en</strong>er <strong>acceso</strong> directo a <strong>la</strong> tab<strong>la</strong>),<br />
basta con conceder únicam<strong>en</strong>te permisos de ejecución <strong>en</strong> el procedimi<strong>en</strong>to<br />
almac<strong>en</strong>ado. Esto se debe al concepto de <strong>la</strong> cad<strong>en</strong>a de propiedad. Para<br />
obt<strong>en</strong>er más información, consulte los libros <strong>en</strong> pantal<strong>la</strong> de SQL Server.<br />
5. Si desea que <strong>la</strong> cu<strong>en</strong>ta de usuario t<strong>en</strong>ga <strong>acceso</strong> a todas <strong>la</strong>s vistas y tab<strong>la</strong>s de<br />
<strong>la</strong> base de <strong>datos</strong>, agrégue<strong>la</strong>s a <strong>la</strong> función db_datareader.<br />
Almac<strong>en</strong>ar cad<strong>en</strong>as de conexión a bases de <strong>datos</strong><br />
de forma segura<br />
Hay varias ubicaciones y opciones posibles para almac<strong>en</strong>ar cad<strong>en</strong>as de conexión a<br />
bases de <strong>datos</strong>, con diversos grados de seguridad y flexibilidad de configuración.<br />
Opciones<br />
La sigui<strong>en</strong>te lista pres<strong>en</strong>ta <strong>la</strong>s principales opciones de almac<strong>en</strong>aje de cad<strong>en</strong>as de<br />
conexión:<br />
Cifradas con DPAPI<br />
Texto sin cifrar <strong>en</strong> el archivo Web.config o <strong>en</strong> el archivo Machine.config<br />
Archivos UDL<br />
Archivos de texto personalizado<br />
Registro<br />
Catálogo de COM+<br />
Utilizar DPAPI<br />
Los sistemas operativos Windows 2000 y posteriores proporcionan <strong>la</strong> API de<br />
protección de <strong>datos</strong> Win32® (DPAPI) para cifrar y descifrar <strong>datos</strong>. DPAPI forma parte<br />
de <strong>la</strong> API de criptografía (Crypto API) y se implem<strong>en</strong>ta <strong>en</strong> Crypt32.dll. Está formada<br />
por dos métodos: CryptProtectData y CryptUnprotectData.<br />
DPAPI es especialm<strong>en</strong>te útil porque puede eliminar el principal problema de<br />
administración que ti<strong>en</strong><strong>en</strong> <strong>la</strong>s <strong>aplicaciones</strong> que utilizan criptografía. Aunque el cifrado<br />
garantiza <strong>la</strong> seguridad de los <strong>datos</strong>, es necesario seguir algunos pasos adicionales<br />
para garantizar <strong>la</strong> seguridad de <strong>la</strong> c<strong>la</strong>ve. DPAPI utiliza <strong>la</strong> contraseña de <strong>la</strong> cu<strong>en</strong>ta de<br />
usuario asociada al código que l<strong>la</strong>ma a <strong>la</strong>s funciones de DPAPI para obt<strong>en</strong>er <strong>la</strong> c<strong>la</strong>ve<br />
de cifrado. Como resultado, el sistema operativo (y no <strong>la</strong> aplicación) administra <strong>la</strong><br />
c<strong>la</strong>ve.<br />
¿Por qué no LSA?<br />
Muchas <strong>aplicaciones</strong> utilizan <strong>la</strong> Autoridad de seguridad local (LSA) para almac<strong>en</strong>ar<br />
secretos. DPAPI pres<strong>en</strong>ta <strong>la</strong>s sigui<strong>en</strong>tes v<strong>en</strong>tajas con respecto a LSA:<br />
Para utilizar LSA, un proceso requiere privilegios administrativos. Supone un<br />
problema de seguridad, ya que aum<strong>en</strong>ta <strong>en</strong> gran medida los posibles daños de<br />
un atacante que logre poner <strong>en</strong> peligro el proceso.<br />
LSA proporciona únicam<strong>en</strong>te un número limitado de ranuras para<br />
almac<strong>en</strong>ami<strong>en</strong>to secreto, muchas de <strong>la</strong>s cuales ya utiliza el sistema.