Come non si deve memorizzare la password di accesso al database: un caso concreto

<< [OT] A chi interessa Ho un gift per Half-Life 2 e Half-Life 2: Episode One | Home | Essere duri con il problema non con le persone >>

Come non si deve memorizzare la password di accesso al database: un caso concreto

Questa mattina un mio cliente che ha acquistato un software terze parti il quale si appoggia su un database di Access, mi ha chiesto se era possibile importare l'anagrafica dei clienti ed altre informazioni dal suo database. Io ho risposto che ci avrei dato un'occhiata.

Apro il database di Access del software terze parti e vedo che hanno impostato una password per l'accesso. Per curiosità vado nella cartella dove è installato il software e vedo che è stato realizzato in .NET 2.0.

A questo punto armato di reflector provo a dare un'occhiata all'assembly DatabaseAccess.dll ed ecco cosa ci trovo (ho oscurato la stringa criptata):

GetPassword Code

E' bastato Eseguire il metodo in una Console Application ed ecco trovata la password.

A questo punto cosa faccio? Dico al mio cliente che non ci sono problemi ed utilizzo la password craccata (se così si può dire), oppure provo a contattare il servizio clienti del software terze parti e chiedo la password?

Print | posted on giovedì 18 ottobre 2007 16:29 |

Feedback

# re: Come non si deve memorizzare la password di accesso al database: un caso concreto

Ciò che tecnicamente si può fare, non è detto che lo si possa fare anche legalmente [;)] quindi ... occhio! [:)].

PS: per completezza, aggiungo che io direi al mio cliente che non ci sono problemi [:)]

18/10/2007 17:40 | Mighell

# re: Come non si deve memorizzare la password di accesso al database: un caso concreto

In effetti ci sono implicazioni legali. Personalmente ne parlerei con il cliente, anche perche' dipende dal dettaglio del contrato o licenza che ha con il fornitore terzo, e comunque in ogni caso e' il cliente a doversi assumere la responsabilita' di un "ok, procedi". Quindi ti sconsiglierei di prendere iniziative autonome in questo senso, altrimenti poi la responsabilita' in caso di problemi diventa tua.

Detto questo, proverei a dare un'occhiata insieme al cliente alla situazione e, a meno che non ci siano vincoli davvero "seri", gli consiglierei tranquillamente di procedere visto che il fornitore terzo difficilmente potrebbe venirne a sapere qualcosa (considerata anche la competenza tecnica che traspare dal codice disassemblato...).

Insomma, non dovrebbe essere un gran problema, ma sicuramente parlane con il cliente e lascia che sia lui ad assumersi la responsabilita' di procedere (anche solo al livello di accordo verbale, ma se ti fai scrivere un email e' ancora meglio...).

Ciao. -LV

18/10/2007 18:43 | LudovicoVan

# re: Come non si deve memorizzare la password di accesso al database: un caso concreto

Penso che farò come mi ha consigliato LudovicoVan, mi sembra l'approccio più professionale.

18/10/2007 19:15 | Antonio Ganci

# re: Come non si deve memorizzare la password di accesso al database: un caso concreto

Personalmente io credo che non ci sia nulla di illegale visto che non stai "craccando" l'eseguibile.
L'uso del reflector è legale e quindi se la software house non si è preoccupata di offuscare l'eseguibile non credo che dovrei farti troppi problemi.
Cmq LudovicoVan anche io parlerei con il Cliente e poi si decide cosa fare.

18/10/2007 22:05 | Marco Santoni

# re: Come non si deve memorizzare la password di accesso al database: un caso concreto

Ciao Marco, per quanto ne so non e' cosi'. Per definizione "software" comprende non solo i programmi ma anche i dati e la documentazione, inoltre al produttore basta specificare i limiti di utilizzo nel contratto di licenza che il cliente sottoscrive e non e' obbligato ad utilizzare particolari tecniche anti-crack perche' tali limiti siano validi. Ad esempio, l'uso del reflector e' legale nella misura in cui il produttore ti consente esplicitamente il reverse-engineering, cosa alquanto insolita... -LV

19/10/2007 22:07 | LudovicoVan

Comments have been closed on this topic.

AntonioGanci

My Links

News

Archives

Post Categories

Image Galleries

Blogs Tecnici

Links

Wiki