網站的web.config加密

Question

我已經找到有關如何使用自定義提供程序和Web角色證書加密web.config以保護連接字符串和其他設置的信息。

這也可以用於網站嗎？如果不是我怎樣才能保護我的連接字符串的網站？我知道我可以管理Azure門戶中的連接字符串，但這些字符串也以明文形式存儲。因此，如果有人訪問web.config或天藍色管理，他將能夠讀取所有數據。

另見：

http://www.heikniemi.net/hardcoded/2013/06/encrypting-connection-strings-in-windows-azure-web-applications/comment-page-1/#comment-173488

http://blogs.msdn.com/b/sqlazure/archive/2010/09/10/10060395.aspx

Answer 1

存儲鍵 - 值字符串對與網站相關的Azure的配置信息（連接字符串和其他機密）。然後，該敏感信息永遠不會顯示爲明文的web.config中

http://azure.microsoft.com/blog/2013/07/17/windows-azure-web-sites-how-application-strings-and-connection-strings-work/

這應該是足夠安全 - 如果湛藍的管理憑據得到折扣，你失去一切，而不僅僅是連接字符串 - 攻擊者可以簡單地使用網站遠程調試，即使您有加密/解密連接字符串的方法，也可以通過程序獲取任何信息。

-Simon。