加密web.config毫無意義？

他有一個後續帖子，有些人反饋說這是浪費時間。

我的問題是，你怎麼看？無論如何，只要有人能夠物理訪問你的web.config文件，你是否完全被洗腦？或者這是一個值得注意的預防措施？

我不認爲這是毫無意義的。如果有人能夠訪問您的Web服務器，那麼您遇到了很多麻煩。這是否意味着您需要允許它們獲得對數據庫/中間層/應用程序服務器的相同訪問權限？

2009-07-20 12:23:29

如果使用可信連接連接到數據庫，那麼讀取web.config仍然無法幫助他們獲取數據庫密碼。 – 2009-07-20 14:13:47

你只是最弱的部分。你可以採取的任何措施來提高安全性是一件好事，儘管這不是我所做的。

我同意如果人們有權訪問您的web.configs，您可能會遇到更糟糕的問題。

我總是確保任何數據庫用戶名/密碼存儲在只有在網站的數據庫datareader/datawriter。

你可以做的一件事就是將它們作爲部署的一部分進行加密，使用諸如MSBuild，NAnt，Rake等構建工具。通過這種方式，它不是那麼努力，因此更有可能被你的團隊

2009-07-20 12:24:26

回答