Manipulando Strings com Segurança

Manipulando Strings com Seguran�a

Bruno Silveira Cruz (e-mail) � Analista de Sistemas, instrutor certificado Microsoft, mais de 2 anos de experiencia lecionando cursos oficiais. Possui 6 anos de experi�ncia em infra-estrutura, e 4 em desenvolvimento, 2 com a pltaforma .NET e C#. Certficado MCP, MCSA 2000 e 2003, MCSA Exchange 2000, MCSE 2000, MCAD C# e MCT, mais de 15 exames de certifica��o no curr�culo.

O .NET Framework 2.0 introduziu uma nova e muito �til classe para trabalharmos com strings de maneira segura. A classe SecureString oferece um objeto pr�-definido de f�cil uso, que podemos usar para guardar informa��es confidenciais como senhas, n�mero de cart�es de credito, e quaisquer outros dados confidenciais.

String x SecureString

Se voc� trabalha com o Framework, j� deve conhecer o objeto String. Na verdade quando referenciamos a classe System.String usamos tradicionalmente o alias, string. O objeto string � uma cole��o de objetos System.Char (char) agrupados. Cada char refere-se ao valor num�rico do caractere em quest�o, na tabela Unicode. Cada caractere � codificado usando UTF-16.

Uma string � tamb�m um objeto imut�vel. Imut�vel porque ap�s sua cria��o, n�o pode ser modificada.

string s = "System.String test";

s.ToUpper();

Console.WriteLine(s); //---> System.String test

Console.WriteLine(s.ToUpper()); //---> SYSTEM.STRING TEST

s = "Nova String";

Console.WriteLine(s); //---> Nova String

Quantas inst�ncias de string temos nesse c�digo? Se voc� respondeu 4, acertou. A primeira � criada na declara��o da vari�vel s na primeira linha. Ao chamarmos o m�todo ToUpper() temos retornada uma segunda inst�ncia. A terceira inst�ncia est� na quarta linha, Console.WriteLine(s.ToUpper()). Na quinta linha est� a quarta inst�ncia, quando eu atribuo um novo valor ao objeto string s, criado anteriormente.

Na verdade, quando atribuo um novo valor a um objeto string, na tentativa de substituir o valor anterior, a CLR cria uma nova inst�ncia do objeto string e descarta a anterior. O problema � que, eu n�o posso descartar imediatamente um objeto string, ou ainda predizer quando esse objeto ser� descartado, mesmo que meu aplicativo n�o o utilize mais.

A� come�am as implica��es na seguran�a do aplicativo. Se voc� usou um objeto string para guardar ou manipular uma senha, por exemplo, esse objeto, em algum momento, ir� residir em uma area da m�moria, e poder� ser recuperado, mesmo que seu aplicativo j� o tenha descartado.

SecureString

O classe SecureString criar objetos similares a classe System.String, mas que s�o mut�veis e s�o encriptados automaticamente, no momento de sua cria��o. No entanto, a classe SecureString n�o possui metodos para manipula��o da string. Para recuperar o texto de uma classe SecureString voce dever� usar

System.Runtime.InteropServices.Marshal.SecureStringToBSTR.

// Checa se o objeto SecureString � Read-Only

if (password.IsReadOnly())

{

// Se for Read-Only, descarta a inst�ncia atual...

password.Dispose();

// ... e cria um novo objeto SecureString.

password = new SecureString();

}

// Recupera o valor da TextBox

if ((PasswordTextBox.Text != String.Empty))

{

if (((e.KeyCode != Keys.Back) && (e.KeyCode != Keys.Delete)))

{

// Recupera o ultimo char. Essa implementa��o tem a limita��o de velocidade. Se o usuario digitar a senha muito rapido

// o texto recuperado do TextBox n�o equivalera ao digitado.

char ch = PasswordTextBox.Text.ToCharArray()[PasswordTextBox.Text.Length - 1];

password.AppendChar(ch);

}

Recuperando o Texto

//O objeto bstr do tipo IntPtr ter� a c�pia decriptada do texto do objeto SecureString.

IntPtr bstr =Marshal.SecureStringToBSTR(password);

try

{

//Recupera uma string do objeto SecureString. Desta maneira j� temos uma copia decriptada do texto do SecureString na m�moria.

PasswordVerifyLabel.Text = Marshal.PtrToStringBSTR(bstr);

}

finally

{

//Zera a memoria do objeto bstr, apagando a c�pia decriptada do objeto SecureString.

Marshal.ZeroFreeBSTR(bstr);

}

Em nosso c�digo de produ��o, devemos contar com uma rotina para interpretar as teclas Delete e Backspace e manipular o objeto SecureString corretamente. Nosso exemplo tem mais uma limita��o: Se o usu�rio digitar a senha muito r�pido, o objeto SecureString n�o ser� preenchido corretamente. Isso acontece porque estamos nos baseando no texto digitado no controle. Em um aplicativo de produ��o devemos monitorar os eventos KeyDown, KeyUp e TextChanged, e converter cada char digitado para o s�mbolo especifico.

D�vidas, criticas ou sugest�es? Mande para o meu e-mail.

Ser� um prazer ter sua opini�o. At� a pr�xima!

Confira outros conte�dos:

Teste unit�rio com NUnit

Como migrar projetos do ASP.NET MVC...

Crie relat�rios com o Stimulsoft...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Imaster1 Em 2006

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Manipulando Strings com Seguran�a

Veja neste artigo como manipular strings com seguran�a

Manipulando Strings com Seguran�a

Confira outros conte�dos:

Teste unit�rio com NUnit

Como migrar projetos do ASP.NET MVC...

Crie relat�rios com o Stimulsoft...

Perguntas frequentes

Nossos casos de sucesso