Pozor na ukládání aplikačních parametrů do SPWeb.Properties

Už jsem za svou praxi s vývojem aplikací pro Sharepoint viděl spoustu custom řešení/rozšíření, spousta z nich má však jednu pěknou vlastnost, a to že svá různá nastavení zapisuje do property bagu SPWeb.Properties. Na tom by samo o sobě nebylo nic špatného, špatné je to, že někteří jedinci (i tzv. “specialisti” a velké SW firmy) tam zapisují data typu hesla zcela nešifrovaně v plaintextu, případně v nějaké serializované XML struktuře!!! Není nic jednoduššího, než si otevřít Sharepoint Designer a přes menu Site –> Site Settings –> záložka Parameters si zobrazit kompletní seznam oněch parametrů, heslo si přečíst a použít… Nemyslím, že by byl takový problém alespoň ono heslo zašifrovat pomocí TripleDES /statické klíče mohou být v assembly, ty už běžný správce nebo editor obsahu hledat nebude/.

 

image 

image

Napsat komentář