Wollte mal kurz in die Runde fragen, was die SecureString-Klasse eigentlich bringen soll.
Hab neulich rausgefunden, dass man nämlich mit diversen Tools einfach so ein eigenes Programm in ein anderes .NET Programm zur Laufzeit injizieren kann.
Dort teilt man dann den Speicher und kann lustig auf alle Sachen zugreifen wie man möchte. Per Reflection natürlich auch ganz easy auf die privaten Felder.
Und nein das ganze ist wirklich nicht schwer und auch nicht aufwendig. Das einzige, was aufwendig ist, ist das Injizieren, aber dafür gibts ja schon fertige Tools.
So wie ich das sehe ist das ne ziemliche Pseudo-Sicherheit, die den .Net-Entwicklern da vorgegaukelt wird. Das betrifft natürlich nicht nur die SecureString-Klasse, sondern das komplette .Net-Framework.
Hab neulich rausgefunden, dass man nämlich mit diversen Tools einfach so ein eigenes Programm in ein anderes .NET Programm zur Laufzeit injizieren kann.
Dort teilt man dann den Speicher und kann lustig auf alle Sachen zugreifen wie man möchte. Per Reflection natürlich auch ganz easy auf die privaten Felder.
Und nein das ganze ist wirklich nicht schwer und auch nicht aufwendig. Das einzige, was aufwendig ist, ist das Injizieren, aber dafür gibts ja schon fertige Tools.
So wie ich das sehe ist das ne ziemliche Pseudo-Sicherheit, die den .Net-Entwicklern da vorgegaukelt wird. Das betrifft natürlich nicht nur die SecureString-Klasse, sondern das komplette .Net-Framework.
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „markus.obi“ ()