1. ホーム
  2. .net

[解決済み] .NETでSecureStringが必要なのはどんなときですか?

2022-04-16 02:29:32

質問

.NETのSecureStringの目的を理解しようとしているのですが。 MSDNより。

<ブロッククオート

System.String クラスのインスタンスは不変であり、不要になったときにプログラムでガベージコレクションをスケジュールすることができません。つまり、インスタンスは作成後は読み取り専用であり、いつコンピュータのメモリから削除されるかを予測することはできません。したがって、Stringオブジェクトにパスワード、クレジットカード番号、個人情報などの機密情報が含まれている場合、アプリケーションがデータをコンピュータのメモリから削除できないため、使用後にその情報が漏洩する危険性があります。

SecureStringオブジェクトは、テキスト値を持つという点ではStringオブジェクトに似ています。ただし、SecureString オブジェクトの値は自動的に暗号化され、アプリケーションが読み取り専用としてマークするまで変更可能で、アプリケーションまたは .NET Framework ガーベッジコレクタのいずれかによってコンピュータメモリから削除することが可能です。

SecureString のインスタンスの値は、インスタンスの初期化時または値の変更時に自動的に暗号化されます。アプリケーションは、MakeReadOnly メソッドを呼び出すことによって、インスタンスを不変にし、それ以降の変更を防止することができます。

自動暗号化は大きな見返り?

と、なぜ言えないのか。

SecureString password = new SecureString("password");

ではなく

SecureString pass = new SecureString();
foreach (char c in "password".ToCharArray())
    pass.AppendChar(c);

SecureStringのどのような点が欠けているのでしょうか?

解決方法は?

私なら、SecureString の使用を止めます。 PGがサポートを打ち切ったようです。 将来的には廃止されるかもしれません。 https://github.com/dotnet/apireviews/tree/master/2015-07-14-securestring .

.NET Core のすべてのプラットフォームで SecureString から暗号化を取り除くべき - SecureString を廃止すべき - .NET Core で SecureString を公開しないほうがよいかもしれません。