MSDN.WhiteKnight - Stack Overflow answers
Ответ на "Blazor wasm пароль не в SecureString?"
Answer 1322643
Рекомендации Microsoft насчет использования SecureString изменились: DE0001: SecureString shouldn't be used
- Содержимое SecureString по настоящему шифруется только под Windows.
- Даже под Windows, его использование по настоящему безопасно только для промежуточного хранения. Любое преобразование в обычный string делает строку небезопасной (а без этого не обойтись, так как почти все API не работают с SecureString).
Поэтому SecureString не стоит использовать ни в Blazor, ни в WPF на данный момент. Да, незащищенный пароль в памяти приложения может быть украден при XSS-атаке или при заражении вредоносным браузерным расширением. Это проблема технически сложно разрешима; механизмы защиты областей памяти хоть и существуют (например Enclave API в Windows), но они довольно новые и не интегрированы со всей остальной инфраструктурой ОС, браузера и веб-фреймфорков. Поэтому защититься тут можно только на уровне предотвращения XSS-атак и установки непроверенных расширений.
Content is retrieved from StackExchange API.
Auto-generated by ruso-archive tools.