Existe-t-il des instructions sur l'utilisation sécurisée de SecureString? Je ne vois pas comment il serait possible de créer la chaîne sécurisée, car vous en aurez besoin pour être saisi à partir d'une zone de texte à un moment donné.SecureString est-il sécurisé?
Vous ne voulez probablement pas utiliser SecureString. On dirait que le PG ne peut pas le soutenir ou même le tirer à l'avenir - https://github.com/dotnet/apireviews/tree/master/2015-07-14-securestring.
Il s'agit de réduire la surface d'attaque. Cela ne rendra pas votre application 100% magique, mais cela aide certainement.
Même si le contenu de la chaîne doit provenir de l'entrée de l'utilisateur, il vaut toujours la peine d'utiliser SecureString si la valeur contient des informations sensibles. Lorsque votre application lit le contenu de la zone de texte, placez la valeur dans SecureString à la première occasion. Comme le dit Mehrdad, dans ce cas, il n'est pas sécurisé à 100%, mais il est plus sécurisé que de ne pas utiliser SecureString. SecureString a pour but de crypter le stockage des données dans la mémoire.
Cela protège contre les analyses de mémoire de texte clair. Cela peut être encore plus important si la partie de la mémoire contenant la chaîne est déplacée dans un fichier d'échange pendant les opérations de pagination.
C'est un peu comme une serrure de volant pour une voiture. Cela n'arrêtera pas votre voiture d'être volée par quelqu'un qui est déterminé, mais cela décourage certainement les voleurs opportunistes.
La chaîne est facilement accessible à toute personne disposant d'un accès débogueur à la machine, en utilisant des outils tels que hawkeye. En effet, les community notes on MSDN rendent cela clair.
+1 pour l'analogie. – Ikke