Chroniques d'Améthyste

Un article sans autre prétention que rassembler un certain nombre d’informations en général assez éparses sur les chaînes de connexion.
Il n’y a pas d’ordre particulier, juste des chapitres qui se suivent.

un peu d'orthographe

• En anglais on écrit : connection
• Par contre en français : connexion, avec un x.

Allez donc relire votre doc et vos commentaires…

Sauver une chaîne dans une application .net

Examinons différents conteneurs, sans prétendre être exhaustif.

Le code

Cette possibilité est assez rare car dans la majorité des cas il s’agit plutôt d’une faute de codage. Avant de l’adopter, évaluez en les avantages et les inconvénients avec soin.

Le fichier de configuration

Depuis .NET 2.0 est apparue la structure <connectionStrings>.
Par exemple :

<connectionStrings>
  <add name="nomChaineConnexion" connectionString="XXXXXXXX"/>
</connectionStrings>

name: Nom du conteneur
connectionString: Chaîne de connexion

Côté code, la récupération de la chaîne se fait ainsi :

ConnectionStringSettings chaine = ConfigurationManager.ConnectionStrings["nomChaineConnexion"];

Le nom du conteneur peut faire l’objet d’une entrée dans la section <appSettings > que l’on peut alors relire en interrogeant le dictionnaire ConfigurationManager.AppSettings.

La classe ConnectionStringSettings propose diverses propriétés, mais celle qui vous intéressera le plus est ConnectionString qui est du type String et retourne biens sûr notre chaîne.

Qu'en est t'il côté sécurité?

Par défaut ASP.NET est configuré pour ne jamais télécharger le fichier web.config. On n’a donc pas de risque de le voir apparaître en navigant sur le site.

Le réglage est fait dans le fichier web.config par défaut situé dans :

%SystemRoot%\ Microsoft.NET\Framework\v2.0.50727\CONFIG

Ce fichier est apparu avec .NET 2.0, le paramétrage se trouve dans machine.config dans les versions antérieures de .NET.

Ce dernier fichier se trouvant hors répertoire virtuel, il est donc considéré comme raisonnablement sûr pour une application Web, d’autant plus que des ACL sont posées sur ce fichier lors de l’installation de .NET.

La protection contre les attaques extérieures est donc sûre.

On peut encore augmenter la sécurité en cryptant la chaîne de connexion à l’aide de l’outil aspnet_regiis.exe livré avec ASP.NET.
Faisons ensemble une petite démonstration, mais sinon reportez vous à la référence [6] pour plus de détails.
Par exemple (mais d’autres syntaxes existent):

aspnet_regiis -pef "connectionStrings" "C:\Projets\...."

Notez que l’un des paramètres est la section que l’on souhaite crypter, on n’est donc pas limité aux chaînes de connexion.
Le résultat ressemble à ceci :

<connectionStrings configProtectionProvider="RsaProtectedConfigurationProvider">
    <EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"
      xmlns="http://www.w3.org/2001/04/xmlenc#">
      <EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc" />
      <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
        <EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#">
          <EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" />
          <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
            <KeyName>Rsa Key</KeyName>
          </KeyInfo>
          <CipherData>
            <CipherValue>BkzayktAAs….BDkjEuG3ZVRs/M=</CipherValue>
          </CipherData>
        </EncryptedKey>
      </KeyInfo>
      <CipherData>
        <CipherValue>UFds9Ssuc6+gHRwt3G…bWqQS31ha</CipherValue>
      </CipherData>
    </EncryptedData>
  </connectionStrings>

Notez plusieurs choses importantes :

• C’est transparent pour votre code
• L’opération est réversible
• Le résultat du cryptage est, par défaut, spécifique à la machine sur lequel il a été effectué, mais il est possible de mettre en place un conteneur RSA particulier comme expliqué en [7]

A ma connaissance cet outil ne s’applique qu’au fichier web .config, du moins je ne suis pas parvenu à l’appliquer à un fichier de configuration d’une application console. Si quelqu’un sait faire sans avoir à renommer le fichier…

Fichier udl (universal data link)

Pour créer un fichier udl :
• Naviguez jusqu’au répertoire où vous souhaitez le déposer
• Créez un fichier texte avec l’extension .udl
• Double cliquez dessus. Une fenêtre suivante s’ouvre
• Remplissez la boite de dialogue.

Une fois terminé, le fichier contiendra la chaîne de connexion complète.

Au sujet du choix du fournisseur, notez que seul OLE DB est supporté par ADO.NET avec les fichiers udl. Mais c’est un moyen que j’aime bien utiliser pour construire une chaîne de connexion.

Côté code maintenant. Disons que votre fichier se nomme monFichierAMoi.udl.

OleDbConnection myConnection = new OleDbConnection("File Name = c:\\monFichierAMoi.udl");

Vous trouverez plus d’infos en [1] et [2].

Côté sécurité?

Ne surtout pas placer le fichier udl dans le répertoire virtuel car il ne sera pas protégé du téléchargement. Pour éviter de possibles bugs de canonicalisation [3], [4], il est même préférable de le disposer dans un volume logique différent de celui du site.

Comme tout fichier critique, il doit être protégé par des ACL adaptés. A ce titre l’accès au fichier udl peut être mieux protégé que celui de web.config car on peut le rendre accessible à nettement moins de comptes. Il y aura au moins MachineName\ASPNET qui n’a besoin que d’un accès en lecture.

Dans la mesure où le fichier udl peut être modifié à l’insu de l’application, celui-ci n’est pas mis en cache, mais lu à chaque appel. Cela peut avoir un impact sur les performances

Il n’est pas possible d’encrypter les fichiers udl.

Fichier personnalisé

Cette option n’est intéressante que si le fichier est placé en dehors du répertoire virtuel pour des raisons de sécurité.
Il doit être protégé par des ACL restrictives et idéalement placé dans un volume distinct de l’application.

Le registre

Pour que l’application ASP puisse y accéder, vous devrez placer la chaîne de connexion dans HKLM. Vous devrez également :
• Protéger la clef avec un ACL
• L’encrypter (voir [5] pour une procédure)

Créer un DSN

Un DSN (Data Source Name) est simplement un fichier avec toutes les informations pour identifier une source de données accessible via ODBC.

Il existe deux types de DSN :
1. Les DSN utilisateur qui ne sont visible que d’un utilisateur sur la machine où le DSN est déployé
2. Les DSN système qui sont accessibles à tous les utilisateurs d’un même système ou connectés au système

Comment faire ?

Il faut rechercher dans le panneau de contrôle le lien vers un utilitaire appelé « ODBC Manager » ou bien « Source de données ODBC ». On le lance et on obtient une fenêtre avec différents onglets. On sélectionne "Source de données système".

Vous trouverez en [14] un tutoriel très bien fait qui vous expliquera la suite.

Côté code rien de très compliqué, vous ouvrez une connexion avec OdbcConnection et créez une chaîne de connexion indiquant juste le nom du DSN avec le mot clef DSN.

Utiliser une chaîne fournie par l'utilisateur

Il peut arriver que la chaîne doive être construite dynamiquement ou bien construite à partir d’informations saisies par l’utilisateur. Dans ce dernier cas, c’est une assez mauvaise idée de le laisser saisir la chaîne elle-même.

Il est plutôt recommandé d’utiliser une des implémentations de la classe DBConnectionStringBuilder pour construire de façon sécurisée une chaîne de connexion. Par exemple pour un fournisseur SQL Server:

SqlConnectionStringBuilder builder = new SqlConnectionStringBuilder();
builder.IntegratedSecurity = false;

string maChaine = builder.ConnectionString;

En standard on dispose des implémentations suivantes:
1. SqlConnexionStringBuilder
2. OracleConnexionStringBuilder
3. OdbcConnexionStringBuilder
4. OleDbConnexionStringBuilder

La classe de base DBConnexionStringBuilder vous permettra de fournir votre implémentation pour d’autres cas.
Cette classe est également intéressante si vous souhaitez analyser le contenu d’une chaîne de connexion.

Comment construire une chaîne de connexion

On a déjà vu trois procédés :
1. L’écrire directement à la main
2. Construire un fichier udl et y lire la chaîne résultante
3. Utiliser une classe dérivée de DBConnexionStringBuilder

On peut aussi trouver des exemples de chaînes de connexion toutes faites ici :

http://www.connectionstrings.com

Mais aussi ici :

http://connectionstringexamples.com

Vous y trouverez des centaines d’exemples de chaînes de connexion pour de nombreuses bases de données.
Retenez au moins ceci :

• Les noms ne sont pas sensibles à la casse (mais les valeurs éventuellement, exemple les mots de passe)
• Les valeurs ne sont pas typées
• Si une même paire nom=valeur apparaît plusieurs fois, seule la dernière sera prise en compte
• Mais : si le mot clef PROVIDER apparaît plusieurs fois, c’est le premier qui est pris en compte !!!!
• Les valeurs true ou false peuvent aussi s’écrire yes ou no

Vous trouverez plus d’informations ici :

http://www.connectionstrings.com/Articles/Show/important-rules-for-connection-strings

On trouve quoi dans une chaîne de connexion

A ma connaissance il n’existe pas de norme particulière, chaque conteneur de données y place ce qu’il souhaite. Mais on retrouve malgré tout une certaine systématique.

L’article qui suit liste la plupart des paramètres que l’on peut rencontrer dans une chaîne de connexion avec leurs valeurs par défaut :

http://www.connectionstrings.com/Articles/Show/all-sql-server-connection-string-keywords

Comme vous le constatez, il y a beaucoup de synonyme.

INITIAL CATOLOG

On rencontre aussi DATABASE. Désigne la base de données associée à la connexion.

DATA SOURCE

Ou aussi SERVER et plein d’autres d’ailleurs !

Nom ou adresse réseau de l’instance de la base de données à laquelle se connecter.

Ce que j’ai appris récemment est que l’on peut y passer le nom du protocole de communication utilisé :

DATASOURCE=np :

using (SqlConnection connnexion = new SqlConnection("Persist Security Info=false;Data Source=.;Initial Catalog=Northwind;Uid=IsgUser;Pwd=ISGuser!"))
{
    string avant = connnexion.ConnectionString;
    connnexion.Open();
    string apres = connnexion.ConnectionString;

    using (SqlCommand commande = connnexion.CreateCommand())
    {
        commande.CommandText = "select * from Customers";
        using (SqlDataReader reader = commande.ExecuteReader(CommandBehavior.CloseConnection))
        {
            int ordinal = reader.GetOrdinal("CompanyName");

            while (reader.Read())
            {
                Console.WriteLine(reader.GetString(ordinal));
            }
        }
    }
}