關於machinekey的安全性

Question

我們有一個在Web場中使用asp.net Forms Authentication的場景，需要在每個服務器的.config文件上設置相同的<machinekey />部分。

將machine_config中的<machinekey />部分保存起來比將web.config保存起來更好嗎？每種安全方法的優點和缺點是什麼？

<machineKey validationKey="[keyhere]" 
    decryptionKey="[keyhere]" validation="SHA1" /> 

如果它不夠安全，有沒有辦法像我們加密我們的connectionsstring（與DPAPI）來加密<machinekey />節？ （http://msdn.microsoft.com/en-us/library/ms998280.aspx）

問候 馬格努斯

Answer 1

我會有它在web.config中，使之明顯，你正在做這件事。如果您希望提高應用程序之間的安全性（不是您可能想要，但是如果留在web.config中則是一個選項），它還爲您提供了針對不同應用程序擁有不同密鑰的附加功能。

我不認爲你對任何方式都不那麼/更安全。如果你的服務器足夠危及web.config被盜用，那麼machine.config可能也是如此。

我還沒有這樣做，但我認爲你可以使用DPAPI來加密machineKey部分。不是100％，雖然...

http://msdn.microsoft.com/en-us/library/ms998280.aspx#paght000005_step1