эти объекты содержат код необходимый для соединения с источником данных

Вопросы безопасности (Entity Framework)

Общие соображения безопасности

Следующие вопросы безопасности относятся ко всем приложениям, использующим Entity Framework.

Использование только доверенных поставщиков источников данных.

Для обеспечения связи с источником данных поставщик должен выполнить следующие действия:

Получение строки подключения из Entity Framework.

перевести дерево команд на собственный язык запросов источника данных;

собрать и возвратить результирующие наборы.

Во время операции входа в систему сведения, полученные с помощью пароля пользователя, передаются на сервер через сетевые библиотеки базового источника данных. Злонамеренный поставщик может похитить учетные данные пользователя, сформировать вредоносные запросы или внести несанкционированные изменения в результирующий набор.

Шифрование соединения для защиты конфиденциальных данных

Entity Framework не обрабатывает шифрование данных напрямую. Если пользователи получают доступ к данным через открытую сеть, то в приложении для повышения безопасности необходимо устанавливать зашифрованное соединение с источником данных. Дополнительные сведения см. в документации источника данных, связанной с безопасностью. сведения об источнике данных SQL Server см. в разделе шифрование соединений для SQL Server.

Защита строки соединения

При соединении с источником данных SQL Server используйте проверку подлинности Windows.

При использовании проверки подлинности Windows для соединения с источником данных SQL Server строка соединения не содержит сведений об имени входа и пароле.

Шифрование разделов файла конфигурации с использованием защищенной конфигурации.

В ASP.NET 2.0 предоставляется возможность, известная как защищенная конфигурация, которая позволяет шифровать конфиденциальные сведения в файле конфигурации. Безусловно, защищенная конфигурация разрабатывалась в первую очередь для ASP.NET, но ее можно также использовать для шифрования разделов файлов конфигурации в приложениях Windows. Подробное описание новых возможностей защищенной конфигурации см. в разделе Шифрование сведений о конфигурации с помощью защищенной конфигурации.

Хранение строк соединения в защищенных файлах конфигурации.

Строку соединения ни в коем случае нельзя внедрять в исходный код. Строки соединения можно хранить в файлах конфигурации, что исключает необходимость внедрять их в код приложения. По умолчанию мастер моделей EDM хранит строки соединения в файле конфигурации приложения. Этот файл необходимо защитить от несанкционированного доступа.

Использование построителей строки соединения при динамическом создании соединений.

Если строки соединения необходимо конструировать во время выполнения, используется класс EntityConnectionStringBuilder. Этот класс построителя строк соединения помогает предотвратить атаки внедрения кода путем проверки входных данных и экранирования недопустимых данных. Дополнительные сведения см. в разделе инструкции. Создание строки подключения EntityConnection. Кроме того, используйте соответствующий класс построителя строк для создания строки подключения к источнику данных, которая является частью строки подключения Entity Framework. дополнительные сведения о построителях строк подключения для поставщиков ADO.NET см. в разделе построители строк подключения.

Дополнительные сведения см. в разделе Защита сведений о подключении.

Не следует предоставлять доступ к объекту EntityConnection пользователям, не заслуживающим доверия

Объект EntityConnection отображает строку соединения базового соединения. Пользователь, получивший доступ к объекту EntityConnection, может также изменить ConnectionState базового соединения. Класс EntityConnection не является потокобезопасным.

Не следует передавать соединения за пределы контекста безопасности

После установки соединения его нельзя передавать за пределы контекста безопасности. Например, один поток с разрешением открыть соединение не должен хранить это соединение в глобальном местоположении. Если соединение доступно в глобальном местонахождении, то другой вредоносный поток может использовать открытое соединение, не имея на это явно предоставленного разрешения.

Следует учитывать, что сведения о входе в систему и пароли могут быть обнаружены в дампе памяти

Если данные о входе в систему и пароль передаются в строке соединения, эти сведения хранятся в памяти до тех пор, пока операция сборки мусора не освободит ресурсы. В результате этого становится невозможным определение того, с какого момента строка пароля перестает находиться в памяти. После сбоя приложения файл дампа памяти может содержать конфиденциальные данные, а возможность просматривать этот файл дампа памяти способен получить пользователь, эксплуатирующий это приложение, а также любой другой пользователь с административным доступом к компьютеру. Для соединения с Microsoft SQL Server используйте проверку подлинности Windows.

Предоставление пользователям только необходимых разрешений на доступ к источнику данных

Администратор источника данных должен предоставлять пользователям только необходимые разрешения. несмотря на то, что Entity SQL не поддерживает инструкции DML, изменяющие данные, такие как вставка, обновление или удаление, пользователи по-прежнему могут получить доступ к источнику данных. Злонамеренный пользователь может с помощью этого соединения выполнять инструкции DML на собственном языке источника данных.

Запуск приложения с минимально возможными разрешениями

FileIOPermission. Разрешение Write на открытие заданных файлов метаданных или разрешение PathDiscovery на поиск в каталоге файлов метаданных.

ReflectionPermission. Разрешение RestrictedMemberAccess на поддержку запросов LINQ to Entities.

SecurityPermission. Разрешение SerializationFormatter на сериализацию исключений с помощью интерфейса ISerializable.

разрешение на открытие подключения к базе данных и выполнение команд в базе данных, например SqlClientPermission для базы данных SQL Server.

Для получения дополнительной информации см. Code Access Security and ADO.NET.

Не устанавливайте приложения, не заслуживающие доверия

Entity Framework не применяет никаких разрешений безопасности и вызовет любой предоставленный пользователем код объекта данных в процессе независимо от того, является ли он доверенным или нет. Убедитесь, что проверка подлинности и авторизация клиента выполняются хранилищем данных и приложением.

Ограничьте доступ ко всем файлам конфигурации

Неизменяемое имя поставщика можно изменить в файле app.config. Клиентское приложение должно обеспечивать доступ к базовому поставщику через фабричную модель стандартного поставщика с использованием строгого имени.

Ограничьте разрешения на файлы модели и сопоставления.

Администратор должен предоставлять доступ для записи к файлам модели и сопоставления (EDMX-файлы, CSDL-файлы, SSDL-файлы и MSL-файлы) только тем пользователям, которые изменяют модель или сопоставления. Entity Framework требуется только доступ для чтения к этим файлам во время выполнения. Администратор также должен ограничить доступ к слоям объектов и предварительно скомпилированным файлам исходного кода представления, созданным инструментами EDM.

Вопросы безопасности применительно к запросам

При запросах к концептуальной модели применимы следующие рекомендации по безопасности. эти рекомендации относятся к Entity SQLным запросам с использованием EntityClient и запросов объектов с помощью LINQ, Entity SQL и методов построителя запросов.

Предотвращение атак путем внедрения кода SQL

Приложения часто получают внешние входные данные (от пользователя или другого внешнего агента) и выполняют действия над этими входными данными. Любые входные данные, прямо или косвенно полученные от пользователя или внешнего агента, могут иметь содержимое, в котором используется синтаксис целевого языка для выполнения несанкционированных действий. если целевым языком является язык SQL (SQL), например Transact-SQL, эта операция называется атакой путем внедрения SQL. Злонамеренный пользователь может внедрить данные непосредственно в запрос и удалить таблицу базы данных, вызвать отказ в обслуживании или другим образом изменить характер выполняемой операции.

атаки путем внедрения Entity SQL:

атаки путем внедрения SQL можно выполнять в Entity SQL, предоставляя вредоносные входные данные для значений, используемых в предикате запроса и в именах параметров. чтобы избежать риска внедрения SQL, не следует сочетать ввод пользователя с Entity SQL текстом команды.

Entity SQL запросы принимают параметры везде, где принимаются литералы. Необходимо использовать параметризованные запросы, а не внедрять литералы, полученные от внешних агентов, непосредственно в запрос. Также следует использовать методы построителя запросов для безопасного создания Entity SQL.

атаки путем внедрения LINQ to Entities:

хотя построение запросов возможно в LINQ to Entities, оно выполняется с помощью API объектной модели. в отличие от запросов Entity SQL, LINQ to Entities запросы не формируются с помощью манипуляций со строками или объединения, и они не подвержены традиционным атакам введения SQL.

Предотвращение создания очень больших результирующих наборов

Слишком большой результирующий набор может вызвать завершение работы клиентской системы, если клиент выполняет операции, для которых потребность в ресурсах пропорциональна размеру результирующего набора. Непредвиденное появление больших результирующих наборов может происходить при следующих условиях:

в запросах к большим базам данных, не включающих соответствующих условий фильтрации;

в запросах, создающих декартовы соединения на сервере;

во вложенных запросах Entity SQL.

Принимая ввод от пользователя, необходимо убедиться в том, что входные данные не могут привести к созданию слишком больших результирующих наборов, которые не сможет обработать система. можно также использовать Take метод в LINQ to Entities или оператор LIMIT в Entity SQL, чтобы ограничить размер результирующего набора.

Старайтесь не возвращать результаты IQueryable, если методы доступны потенциально ненадежным вызывающим объектам.

Старайтесь не возвращать типы IQueryable из методов, которые доступны потенциально ненадежным вызывающим объектам, по следующим причинам.

Вопросы безопасности применительно к сущностям

Следующие рекомендации по безопасности применимы при формировании типов сущностей и работе с ними.

Не следует совместно использовать контекст ObjectContext во всех доменах приложений

Совместное использование ObjectContext в нескольких доменах приложений может создать предпосылки получения доступа к данным в строке соединения. Вместо этого следует передать сериализованные объекты или графы объектов в домен другого приложения, а затем присоединить эти объекты к ObjectContext в этом домене приложения. Дополнительные сведения см. в разделе сериализация объектов.

Предотвращение нарушений безопасности типов

Если нарушается безопасность типа, Entity Framework не может гарантировать целостность данных в объектах. Нарушения безопасности типов могут происходить, если разрешается эксплуатация ненадежных приложений с полным уровнем доверия для управления доступом для кода.

Выполните обработку исключений.

Доступ к методам и свойствам ObjectContext в блоке try-catch. Обработка исключений предотвращает их попадание в пользовательское приложение, и поэтому пользователи приложения не смогут получить доступ к записям в ObjectStateManager или к данным модели (например, именам таблиц).

Вопросы безопасности применительно к приложениям ASP.NET

при работе с путями в ASP.NET приложениях следует учитывать следующее.

Убедиться в том, что узел выполняет проверку путей

) выполняется процессом размещения ASP.NET. Эту проверку выполняют службы IIS, однако узлы, отличные от IIS, могут не проверять, поддерживается ли преобразованный путь. Вам следует ознакомиться с поведением узла, на котором развертывается приложение Entity Framework.

Не следует делать предположений в отношении преобразованных имен путей

Хотя значения, к которым оператор root (

) и DataDirectory строка подстановки разрешают, должны оставаться постоянными во время выполнения приложения, Entity Framework не ограничивает изменение этих значений узлом.

Проверить длину пути перед развертыванием.

Перед развертыванием Entity Frameworkного приложения следует убедиться, что значения корневого оператора (

) и DataDirectory строки подстановки не превышают ограничения длины пути в операционной системе. поставщики данных ADO.NET не гарантируют, что длина пути находится в пределах допустимых ограничений.

Вопросы безопасности применительно к метаданным ADO.NET

При формировании и работе с файлами модели и сопоставления применимы следующие рекомендации по безопасности.

Не следует представлять доступ к конфиденциальным сведениям с помощью средств ведения журнала

ADO.NET компоненты службы метаданных не заносить в журнал никаких частных данных. Если имеются результаты, которые не удается возвратить из-за ограничений доступа, то системы управления базами данных и файловые системы должны возвращать нулевой результат, а не активизировать исключение, которое может содержать конфиденциальные данные.

Не следует принимать объекты MetadataWorkspace из ненадежных источников

Приложения не должны принимать экземпляры объектов класса MetadataWorkspace из ненадежных источников. Вместо этого необходимо явно создать и заполнить рабочую область из такого источника.

Источник

Проектирование баз данных и работа с ними Веб-приложений. Введение в БД, SQL Server, ADO.NET

9.2.2. ADO.NET

9.2.2.1. Общие сведения

Так как ADO.NET представляет собой набор классов для организации взаимодействия клиентского приложения с базой данных, рассмотрим объектную модель ADO.NET (рис. 9.9).

Объекты, расположенные в правой части называются отсоединенными и позволяют работать с данными автономно.

Одной из основных идей, лежащих в основе ADO.NET является наличие поставщиков данных.

Поставщик данных – это набор классов, предназначенных для взаимодействия с хранилищем данных определенного типа. Рассмотрим уровни модели поставщиков ADO.NET (рис. 9.10).

9.2.2.2. Организация взаимодействия с БД

Рассмотрим описанные выше этапы более подробно.

9.2.2.2.1. Подключение к БД

Дальнейшие примеры кода рассмотрены применимо к СУБД SQL Server 2008 Express.

Впоследствии эту строку можно извлечь из файла web.config :

Для обслуживания соединения с базой данных расходуются ресурсы компьютера, на котором выполняется Веб-приложение. В связи с этим, рекомендуется открывать соединение как можно позже, а закрывать как можно раньше, сразу после того, как все необходимые действия с объектами базы данных были выполнены. Кроме того, желательно строить программный код так, чтобы соединение с базой данных закрывалось при любом исходе соединения с ней (т.е. выполнялся метод Close() ).

Источник

Создание источника данных (многомерные службы SSAS)

Область применения: SQL Server Analysis Services Azure Analysis Services Power BI Premium

В многомерной модели служб Службы Analysis Services объект источника данных представляет собой соединение с источником данных, данные из которого обрабатываются или импортируются. Многомерная модель должна содержать по меньшей мере один объект источника данных, но можно добавить несколько таких объектов, чтобы объединить данные из нескольких хранилищ данных. Для создания объекта источника данных модели воспользуйтесь инструкциями, приведенными в этом разделе. Дополнительные сведения о настройке свойств этого объекта см. в разделе Задание свойств источника данных (многомерная база данных SSAS).

Этот раздел включает следующие подразделы:

Выбор поставщика данных

Настройка учетных данных и параметров олицетворения

Соединение с источником данных иногда может использовать проверку подлинности Windows или проверку подлинности службы, предоставляемые системой управления базами данных, например проверку подлинности SQL Server, для соединения с базой данных SQL Azure. Задаваемая учетная запись должна иметь имя входа на сервере удаленной базы данных и разрешения на чтение внешней базы данных.

Проверка подлинности Windows

Соединения, использующие проверку подлинности Windows, указаны на вкладке Сведения об олицетворении конструктора источников данных. Используйте эту вкладку для выбора параметра олицетворения, определяющего учетную запись, от имени которой выполняются службы Службы Analysis Services при подключении к внешнему источнику данных. Некоторые параметры можно использовать не во всех ситуациях. Дополнительные сведения об этих параметрах и их использовании см. в разделе Задание параметров олицетворения (многомерная база данных SSAS).

Проверка подлинности базы данных

В качестве альтернативы проверке подлинности Windows можно указать соединение, использующее службу проверки подлинности, предоставляемую системой управления базами данных. В некоторых случаях требуется проверка подлинности базы данных. Сценарии, в которых требуется использование проверки подлинности базы данных, подразумевают использование проверки подлинности SQL Server для подключения к базе данных SQL Azure, либо получение доступа к реляционному источнику данных, работающему в других операционных системах или в недоверенном домене.

При получении данных клиентская библиотека, выполняющая подключение, создает запрос на соединение, который содержит учетные данные в строке подключения. Параметры проверки подлинности учетных данных Windows на вкладке «Сведения об олицетворении» не используются в соединении, но могут использоваться для других операций, таких как получение доступа к ресурсам на локальном компьютере. Дополнительные сведения см. в разделе Задание параметров олицетворения (многомерная база данных SSAS).

После сохранения объекта источника данных в модели строка подключения и пароль шифруются. В целях безопасности все видимые трассировки пароля удаляются из строки подключения при последующем просмотре в инструментах, скрипте или коде.

Определение данных олицетворения для объектов интеллектуального анализа данных

Создание источника данных с помощью мастера источников данных

Новые подключения создаются в диспетчере соединений. В диспетчере соединений следует выбрать поставщик и указать свойства строки подключения к поставщику для подключения к базовым данным. Какие именно данные необходимо указать, зависит от выбранного поставщика, но обычно это сервер или экземпляр службы, учетные данные для входа, имя базы данных или файла и другие параметры, относящиеся к конкретному поставщику. в оставшейся части этой процедуры предполагается, что SQL Server подключение к базе данных.

По умолчанию для нового соединения применяется собственный поставщик OLE DB\SQL Server или поставщик Native Client. Этот поставщик используется для подключения к экземпляру компонента SQL Server Database Engine с помощью OLE DB. Для подключений к реляционной базе данных SQL Server использование собственного клиента OLE DB или SQL Server Native Client 11.0 чаще всего более производительно, чем при использовании других поставщиков.

Для доступа к другим источникам данных вы можете выбрать другой поставщик. Список поставщиков и реляционных баз данных, поддерживаемых службами Службы Analysis Services, см. в разделе Поддерживаемые источники данных (службы SSAS — многомерные базы данных).

Имя сервера — это сетевое имя экземпляра Database Engine. Его можно указать как IP-адрес, имя NETBIOS компьютера или в виде полного доменного имени. Если сервер установлен как именованный экземпляр, необходимо включить имя экземпляра (например, \ ).

Вход на сервер указывает, какой тип проверки подлинности будет использоваться для соединения. Проверка подлинности Windows указывает, что будет использована проверка подлинности Windows. Параметр Использовать проверку подлинности SQL Server задает имя пользователя базы данных для баз данных Windows Azure SQL или экземпляра SQL Server, который поддерживает проверку подлинности в смешанном режиме.

В диспетчере соединений содержится флажок Сохранить пароль для соединений, использующих проверку подлинности SQL Server. Хотя флажок всегда видим, используется он не всегда.

Среди условий, при которых службы Analysis Services не используют этот флажок: обновление или обработка реляционных данных SQL Server, используемых в активной базе данных служб Analysis Services. Вне зависимости от того, снят или поставлен флажок Сохранить пароль, службы Analysis Services всегда сохраняют и шифруют пароль. Пароль шифруется и хранится как в файлах ABF, так и в файлах данных. Это происходит потому, что службы Analysis Services не поддерживают сохранение пароля для каждого сеанса на сервере.

Такое поведение применимо к базам данных, которые a) сохранены в экземпляре сервера Analysis Services и b) используют проверку подлинности SQL Server для обновления или обработки реляционных данных. Оно не относится к соединениям с источниками данных, которые настраиваются в среде SQL Server Data Tools и используются только в течение сеанса. Поскольку не существует способа удалить уже сохраненный пароль, можно использовать другие учетные данные либо проверку подлинности Windows, в ходе которых пользовательские сведения, сохраненные в базе данных, будут перезаписаны.

Выбрать или ввести имя базы данных или Присоединить файл базы данных используются для указания базы данных.

В левой части диалогового окна щелкните Все для просмотра дополнительных параметров этого соединения, включая все настройки по умолчанию для данного поставщика.

Измените параметры в соответствии с окружением и нажмите кнопку ОК.

Новое соединение появится на панели Подключение к данным на странице Выбор метода определения соединения мастера источников данных.

Щелкните Далее.

В разделе Сведения об олицетворении укажите учетные данные или удостоверение пользователя Windows, которые службы Analysis Services будут использовать для соединения с внешним источником данных. Если используется проверка подлинности базы данных, эти параметры при подключении не учитываются.

Рекомендации по выбору параметра олицетворения различаются в зависимости от способа использования источника данных. Для выполнения задач обработки при соединении с источником данных служба Службы Analysis Services должна быть запущена в контексте безопасности собственной учетной записи службы или заданной учетной записи пользователя.

Использовать конкретное имя пользователя Windows и пароль ― указание уникального набора учетных данных с наименьшими правами доступа.

Использовать учетную запись службы ― обработка данных с использованием удостоверения службы.

Указанная учетная запись должна иметь разрешения на чтение в источнике данных.

Щелкните Далее. На странице Завершение работы мастера введите имя источника данных или используйте имя по умолчанию. Имя по умолчанию — это имя базы данных, используемой соединением. На панели Предварительный просмотр отображается строка подключения для этого нового источника данных.

Нажмите кнопку Готово. Новый источник данных появится в папке Источники данных в обозревателе решений.

Создание источника данных с помощью существующего соединения

Создание источника данных на основе существующего источника данных решения позволяет определить источник данных, который синхронизирован с существующим. При построении проекта, содержащего новый источник данных, используются настройки базового источника данных.

При создании ссылки на объект источника данных этот объект можно изменять только в целевом объекте или проекте. Данные соединения в объекте источника данных, содержащем ссылку, изменять нельзя. Изменения данных о соединении в объекте или проекте, на который указывает ссылка, отражаются в новом источнике данных при его построении. Данные о строке соединения, которая отображается в файле источника данных (DS) в проекте, синхронизируется при сборке проекта или при удалении ссылки в конструкторе источников данных.

Просмотр или изменение свойств соединения

Строка подключения формируется на основе свойств, выбранных в конструкторе источников данных или в мастере источников данных. Можно просмотреть строку подключения и другие свойства в среде SQL Server Data Tools.

Изменение строки подключения

Дважды щелкните объект источника данных в обозревателе решений среды SQL Server Data Tools.

Щелкните Изменить, а затем — Все на левой панели навигации.

Появится сетка свойств, в которой будут показаны доступные свойства используемого поставщика данных. Дополнительные сведения об этих свойствах см. в документации поставщика. Информацию о SQL Server Native Client см. в разделе Using Connection String Keywords with SQL Server Native Client.

При наличии нескольких источников данных в решении и необходимости хранения строки подключения в одном местоположении можно настроить текущий источник данных, чтобы он ссылался на другой объект источника данных.

Ссылка на источник данных представляет собой взаимосвязь с другим проектом или источником данных Службы Analysis Services в этом же решении. Ссылки предоставляют возможность синхронизации источников данных между объектами в решении. Данные строки подключения синхронизируются при каждом построении проекта. Чтобы изменить строку подключения для источника данных, который ссылается на другой объект, необходимо изменить строку подключения для объекта, на который он ссылается.

Ссылку можно удалить, сняв флажок. При этом прекращается синхронизация между объектами и обеспечивается возможность изменения строки подключения в источнике данных.

Добавление нескольких источников данных в модель

Можно создать несколько объектов источника данных для поддержки соединений с дополнительными источниками данных. Каждый источник данных должен содержать столбцы, которые можно будет использовать для создания связей.

Если определено несколько источников данных, причем в одном запросе требуются данные из нескольких источников (например, измерения, связанные по схеме «снежинка»), необходимо определить источник данных, который поддерживает удаленные запросы через метод OpenRowset. Как правило, это будет источник данных Microsoft SQL Server.

Существуют следующие требования к использованию нескольких источников данных.

Укажите один источник данных в качестве первичного. Первичный источник данных используется для создания представления источников данных.

Для объединения данных из нескольких источников данных используйте следующий подход.

Создайте источники данных в модели.

Создайте представление источника данных, используя реляционную базу данных SQL Server в качестве источников данных. Это будет первичный источник данных.

В конструкторе представлений источников данных, используя только что созданное представление источника данных, щелкните правой кнопкой мыши в любой точке рабочей области и выберите пункт Добавить/удалить таблицы.

Выберите другой источник данных и таблицы для добавления.

Найдите и выберите таблицу, которая была добавлена. Щелкните правой кнопкой мыши таблицу и выберите команду Создать связь. Выберите исходный и целевой столбцы, содержащие соответствующие данные.

Источник