Come risolvere Gestione password - Password in configurazione

Question

Ciao Sto usando HP fortify per trovare tutte le vulnerabilità della mia app, e ora sto cercando di risolverne uno che sembra semplice ma non riesco a farlo.

Il problema riguarda la password nella configurazione. Ho un'applicazione web e all'interno di essa in un file di proprietà qualcosa come questo.

somePassword=passwordPlainText 

Sono d'accordo che questo è sbagliato, allora cerco di offuscare con diversi metodi che utilizzano http://www.jasypt.org/encrypting-configuration.html, tipi di OBS, cripta e ENC. Ma ottengo sempre lo stesso avviso da fortificare quando scruto il mio codice. Sto facendo qualcosa di sbagliato?

Grazie

Answer 1

è possibile trovare la seguente risposta utile. Presumo che questa potrebbe essere una password del database, ma gli stessi concetti si applicano per accedere ad altri tipi di account.

https://security.stackexchange.com/questions/22817/how-to-encrypt-database-connection-credentials-on-a-web-server

principio di base è che si vuole evitare perdite accidentali delle credenziali e quindi metterli in un luogo al di fuori del codice (dove tutti gli sviluppatori lo vedranno) e in un file di configurazione che si trova all'esterno della la radice del codice principale ed è attentamente controllata dall'accesso. Idealmente, è possibile evitare completamente le password configurando correttamente l'accesso al database in base alle autorizzazioni dell'utente.

Nota: Fortify rileva il problema della password basandosi essenzialmente su "password" (e alcune varianti). Quindi altre volte questo è falso positivo, se si ha solo una variabile denominata "password" o un commento che menziona "password", ma non è difficile codificare una password nel file.