1. Напишите микросервис, службу, которая знает про соль и умеет расшифровывать данные. Про него никто не знает, ну кроме сайта вашего. Сайт ходит на него используя ключи, сертификаты и т.д.
2. Сайт или сервис смотрит наружу. Про него знают все. Если его украдут, вместе с базой - то не смогут добраться до вашей службы с солью. Ключи хранить на флешке например, воткнутой в сервер ) или в защищенном хранилище сертификатов.
Главное не зашивать его в код жестко. Это проблема и безопасности и обновления/обслуживания.
Максим: 8-10 категорий, всего 5000 позиций вначале. Но до 10000 обещает прирост. Цель и задачи: витрина, корзина, поиск и фильтрация, оформление заказа. Покупка онлайн - пока не требуется, но в будущем будет нужна. Управление ценами, наличием и т.д. - источник 1С.
Опыты точно нет. А то подумают что я физик или химик, или куда хуже биолог ставящий опыты на мышах. Эксперименты ближе. Но тоже кажется не то.
я вот думаю вообще не переводить и оставить даже в русском варианте Labs.
Валерий Абакумов: вообще можно создать ручками XML файл Excel формата (xlsx). Даже через StringBuilder закостылить в крайнем случае. Почитайте про формат, в интернете есть https://en.wikipedia.org/wiki/Office_Open_XML
но это по сути изобретение велосипеда.
Если заточите свой велосипед под .net core - можете выкладывать на гитхаб.
Валерий Абакумов: согласен. если либа поддерживает только full .net - то не получится. надо тогда искать другие либы которые поддерживают ExcelDataReader например посмотрите.
Владимир Дубровин: я не юрист. и не знаю что может быть. поэтому и спрашиваю.
одно дело чисто по человечески - что у нас в стране не работает - и совсем другое - по закону - что тоже не особо работает - но хотя бы что-то.
там предварительная информация сразу раскроет всю суть. даже если не буду называть название компании достаточно будет перебрать несколько компаний той же направленности и получить желаемое.
там не требуется специфики какой-то. все на поверхности.
уязвимость могут воспроизвести другие клиенты, с большой долей вероятности. сами того не осознавая.
почему раньше не обнаружили - неизвестно. может кто-то забаговал новой версией продукта. и открыл такую дыру. неизвестно.
АртемЪ: уязвимость была получена путем совершения стандартной операции над денежными средствами которую предоставляет данная компания. целенаправленно никто не копал. когда поняли что получилось. проверили на друге, тоже клиент данной компании. другу сразу возместили ущерб.
затем написали в компанию и все расписали.
просто уязвимость не просто ошибка. там дыра.
при желании можно уехать в другую страну и абанкротить ее на всю катушку. но такой цели нет.
цель закрыть дыру. чтобы все спали спокойно. и компания и клиенты.
Тут не окно не закрыто, тут можно списывать деньги в любых количествах. Такое сообщить - это будет эффект страшный. И последствия.
Начнут копать - выяснят что оказывается массовому взлому предшествовала статья на Хабре - как данный взлом повторить.
Вот и хочется чисто по юридически узнать - насколько безопасно. Другие же публикуют после закрытия - что было. И повторить не смогут - закрыта она.
А тут компания не идет навстречу, кроме спасибо-досвидания ничего не получили от них.
e1s: вообще проектируйте БД так, чтобы не связывыватся с кучей временных # таблиц. запутаетесь кто создает их, кто пишет, а кто читает. Создавайте физическую таблицу если она такая нужная.
Михаил: открой файл проекта (*.csproj) в тектовом редакторе и посмотри - есть ли там файлы твои. по названию поиск сделай.
если нет - то значит криво добавил.
если есть - но все равно не отображает - баг какой-то.
2. Сайт или сервис смотрит наружу. Про него знают все. Если его украдут, вместе с базой - то не смогут добраться до вашей службы с солью. Ключи хранить на флешке например, воткнутой в сервер ) или в защищенном хранилище сертификатов.
Главное не зашивать его в код жестко. Это проблема и безопасности и обновления/обслуживания.