[英]Is encrypting web.config pointless?
我今天正在閱讀一篇博客( http://somewebguy.wordpress.com/2009/07/20/is-encrypting-your-web-config-a-waste-of-time/ )關於如何加密你的appsettings /連接字符串等使用aspnet_regiis工具。
他有一個跟進帖子,其他人反饋說這是浪費時間。
我的問題是,你怎么看? 一旦任何人獲得對web.config文件的物理訪問權限,你是否完全被沖洗了? 或者這是一個值得預防的事情嗎?
我不認為這是毫無意義的。 如果有人可以訪問您的Web服務器,是的,您遇到了很多麻煩。 這是否意味着您需要允許它們獲得對數據庫/中間層/應用程序服務器的相同訪問權限?
你只有最弱的部分才能堅強。 你可以采取任何措施來提高安全性是一件好事,雖然這不是我所做的。
我同意這樣的觀點:如果人們可以訪問你的web.configs,你可能會擔心更糟糕的問題。
我總是確保存儲在其中的任何db用戶名/密碼都只在站點的數據庫上有datareader / datawriter。
您可以做的一件事就是使用MSBuild,NAnt,Rake等構建工具將它們作為部署的一部分進行加密。這樣做不是太費力,因此更有可能被您的團隊接受
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.