In den .NET API für Windows Store-Apps fehlt die SecureString-Klasse. Auch PasswordBox speichert das Passwort nicht in einer sicheren Zeichenfolge. Was bedeutet das sichere Speichern von Zeichenfolgen in einer Windows Store App? Oder haben Windows 8 einen sicheren Mechanismus, um zu verhindern, dass andere den Speicher der Anwendung lesen (oder Speicherauszug, nachdem sie absichtlich abgestürzt sind)Was ist für SecureString in WinRT gleichwertig?
Es gibt keine. Die Lücken in der .NET-API für Store-Apps wurden entweder gemacht, weil eine Klasse in einer WinRT-App nicht funktionieren konnte, weil sie auf nicht verfügbare Betriebssystem-Unterstützung angewiesen war, weil die Gelegenheit da war, Totholz in das Framework zu schneiden oder weil die Klasse einfach plain macht in einer Store-Anwendung keinen Sinn.
Das Weglassen von SecureString begünstigt stark die Erklärung "macht keinen Sinn". Kein Angreifer würde jemals die Mühe machen, die Zeichenfolge aus mehreren Gigabyte Swap-Datei-Daten zu graben. Es ist viel einfacher, einfach Ihre App aus dem Laden zu laden und einen Debugger bequem von zu Hause aus zu verwenden.
Dank Hans. Ich nehme das als Antwort. Ich bin mir aber nicht wirklich sicher, ob der "nicht sinnvoll" -Fall wirklich zutrifft. Das würde bedeuten, dass SecureString auch in einer Desktop-App keinen Sinn ergibt. Warum wurde es dann überhaupt umgesetzt? Ich könnte mir vorstellen, dass stark gesicherte Umgebungen (Regierungen) eine Richtlinie durchsetzen, um Passwörter nicht im Klartext zu speichern. Und ich könnte mir vorstellen, dass eine Windows Store App in diesen Umgebungen sinnvoll ist. Ich bin mir nicht sicher, aber ist es nicht möglich, eine App zum Absturz zu bringen und im Speicherabbild zu suchen (viel einfacher als das Durchsuchen von Auslagerungsdateien)? –
Es gibt keinen Ersatz für physische Sicherheit, keine Menge an Software-Sicherheit kann ohne sie funktionieren. Zumindest mit einer Desktop-App haben Sie eine Chance darauf, Sie können ihre Verteilung steuern. Diese Behörde braucht gute Schlösser und muss dafür sorgen, dass niemand durch die Mülltonnen stöbert. SecureString behebt das Problem mit dem Mülleimer. Es gibt keine, wenn es über einen Store bereitgestellt wird, an den jeder gelangen kann. –
Ich stimme völlig zu, dass es keinen Ersatz für physische Sicherheit gibt. Aber wie bei Windows Store Apps können Sie auch die Verteilung steuern, wenn Sie sie nicht aus dem Store installieren, sondern Sideloading verwenden. In Sachen Sicherheit sehe ich keinen großen Unterschied zu Desktop-Apps. Ich glaube, dass die Installation von Apps direkt auf Computern für bestimmte Unternehmen in Zukunft ein gängiges Szenario sein wird. Ich arbeite für ein Unternehmen, das dies bereits getan hat (App für Manager, die Geschäftsdaten anzeigen). –
Eine ähnliche Antwort hier: http://social.msdn.microsoft.com/Forums/is/winappswithcsharp/thread/4f5ca16e-a04c-4fa6-9908-ea9e0a24b788 –