.Net 4 UnicodeEncoding et SecureString

**rvzip64** · 07/12/2009, 22h34

Salut tout le monde en C#4 la ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

uEncoding.GetBytes(source)

ne compile plus, getbytes ne prend qu'un type string.

Comment je peux faire pour que cela fonctionne ?

Voici mon code complet

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
   public String CreateHash(SecureString source)
        {
            UnicodeEncoding uEncoding = new UnicodeEncoding();
            //Stocke la chaine source dans un tableau d'octet
            Byte[] octetsSource = uEncoding.GetBytes(source);
 
            SHA1CryptoServiceProvider sha1 = new SHA1CryptoServiceProvider();
            //Création du Hash
            Byte[] octetsHash = sha1.ComputeHash(octetsSource);
            //Retourne une chaine encodé en base 64 qui est plus lisible
            //qu'une chaine hashée
            return Convert.ToBase64String(octetsHash);
        }

**bacelar** · 07/12/2009, 23h29

???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

uEncoding.GetBytes(source.ToString())

**rvzip64** · 07/12/2009, 23h34

ca fait pas une copie de la chaine en mémoire ça ?
Si c est le cas ce n'est pas sécurisé ..

**bacelar** · 08/12/2009, 23h51

Je sais, d'où le

.

En 3.5, il y a les mêmes surcharges.

Moi, je pense que SecureString n'est plus convertible en Char[].

Pouvez-vous voir, avec le Framework 3.5, comment la conversion se fait, en débuggant en mode pas à pas.

**smyley** · 09/12/2009, 23h52

En même temps, s'inquiéter de la sécurité d'une chaine de caractère en voyant la ligne :

Code c# :

Sélectionner tout - Visualiser dans une fenêtre à part

Byte[] octetsSource = uEncoding.GetBytes(source);

c'est ... inquiétant ...

à supposé que uEncoding.GetBytes(source) fonctionne, à votre avis à ce moment là il y aura quoi dans octetsSource ? une chaine unicode en clair ...

**bacelar** · 10/12/2009, 00h19

"octetsSource" serait une liste de byte en mémoire qui pourra être effacé soit par la méthode Dispose soit par le GarbageCollector, donc plus ou moins transitoirement.

Si c'était une string, elle serait stocké dans le pool de string de l'AppDomain ou du Runtime .NET, donc beaucoup beaucoup plus longtemps.

Sécurité + String =

D'où les SecureString.

.Net 4 UnicodeEncoding et SecureString

Windows Forms

Vue hybride

Discussions similaires

Partager

Partager