Passwortverwaltung lösen - Passwort in der Konfiguration

Question

Hallo Ich benutze HP Fortify, um alle Schwachstellen meiner App zu finden, und jetzt versuche ich eine zu lösen, die einfach erscheint, aber ich bin dazu nicht in der Lage.

Das Problem ist über das Passwort in der Konfiguration. Ich habe eine Webanwendung und darin in einer Eigenschaftendatei etwas ähnliches.

somePassword=passwordPlainText 

Ich bin damit einverstanden, das ist falsch, dann versuche ich, mit mehreren Methoden zu verschleiern mit http://www.jasypt.org/encrypting-configuration.html, OBS, CRYPT und ENC-Typen. Aber ich bekomme immer die gleiche Warnung, wenn ich meinen Code scanne. Ich mache etwas falsch?

Dank

Answer 1

Sie können die folgende Antwort hilfreich. Ich gehe davon aus, dass dies ein Datenbankkennwort sein könnte, aber die gleichen Konzepte gelten auch für den Zugriff auf andere Kontotypen.

https://security.stackexchange.com/questions/22817/how-to-encrypt-database-connection-credentials-on-a-web-server

Grundprinzip ist, dass Sie ein versehentliches Leck des Beglaubigungsschreibens vermeiden wollen, und sie so in einem Ort, außerhalb des Codes (wo alle Entwickler wird es sehen) und in einer Konfigurationsdatei, die außerhalb ist der Hauptcode Root und ist sorgfältig zugriffskontrolliert. Im Idealfall können Sie Passwörter vermeiden, indem Sie den Datenbankzugriff entsprechend den Benutzerberechtigungen ordnungsgemäß konfigurieren.

Hinweis: Fortify findet das Passwortproblem, indem es grundsätzlich nach "password" (und einigen Varianten) sucht. In anderen Fällen ist dies falsch positiv, wenn Sie nur eine Variable mit dem Namen "password" oder einen Kommentar mit dem Wort "password" haben, aber kein Passwort in die Datei schreiben.