Hoy festejé mi cumpleaños en un Solution Day para Seguros Monterrey en Microsoft. El tema que me tocó exponer fué el de «Extendiendo Microsoft Sharepoint Portal Server 2003 con Microsoft Visual Studio 2003«. En la demo, hago un webpart utilizando VSNET con C# y hago el deployment del paquete dentro de Sharepoint. Lo que hace el webpart es consumir información de un storedprocedure en sqlserver para mostrar esta información. El webpart lo incluí en My Site para que el usuario pueda tener un Digital Dashboard con información de indicadores de venta para toma de desiciones. Desgraciadamente se nos apretó muchísimo la agenda, y solo me dieron 20 minutos para darla, pero estuvo padre lo que se pudo hacer.
Uno de los integrantes me preguntó algo del ConnectionString. Que donde debía ser guardado o algo así. Yo le contesté que normalmente lo guardamos en el Web.Config y utilizamos ApplicationSettings para obtenerlo, y me dijo que esto se le hacía vulnerable (con cierto aire mamila). Para poder contestar algo así, nos tenemos que ir a la raíz del problema, si el Web.Config reside en un servidor y es un archivo que no es servido por el IIS, ¿por qué habría problema de poner el username y password?… Por que alguien podría entrar al servidor y ver nuestra contraseña (esa fué su respuesta).
Si alguien puede entrar a tu servidor y ver tu web.config… entonces ese no es un problema de vulnerabilidad de .NET ni de tu aplicación… es un problema a nivel organizacional! Demonios! si alguien puede meterse a tu servidor creo que el web.config es lo de menos no?
En otros temas, tambien depende de la arquitectura de nuestra aplicación. Podemos generar una ConnectionString encriptado con 3DES con un assembly que contenga estas rutinas, que esté bien ofuscado para evitar reverseEngineering… Pero bueno, este es un tema mucho más allá y depende mucho de la arquitectura o el nivel de seguridad que pensamos implementar…
En otros temas, hoy nos juntamos con MS para ver donde se encuentra posicionado Intellekt como cuenta estrategica. Buenas y malas noticias, lo que si les puedo adelantar, que hay muchos retos por adelante y seguiremos en la batalla!
Cheers!
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.