4
我知道有可能加密存儲在web.config中的連接字符串,
而且我知道你永遠不會太安全,但是由於無法查看或下載web.config,爲什麼需要它?以何種方式更安全?加密Web.Config中的連接字符串 - 爲什麼?
[編輯:]我沒有使用共享託管服務器。
A
回答
1
如果您將您的網站部署到客戶的Web服務器並希望保持憑據的祕密。
+0
但是,鑑於我正在使用我自己的專用服務器? – sternr
+0
然後,如果通過某種類型的漏洞(無論是在你的軟件,在IIS中,在Windows中,還是在其他一些應用程序中),任何人都可以獲得web.config,但他們仍然沒有任何東西。 – CodeCaster
+0
我不能說我轉換了,但至少我明白理性,謝謝! – sternr
1
如果有人闖入您的服務器,他無法看到所有敏感信息,無需進一步工作。如果您將應用程序部署到某些「雲」服務,則您的憑證不會暴露給維護該服務的所有人。
編輯:也有一些管理員或有權訪問服務器的用戶將無法讀取明文憑證。
1
我想你說「你永遠不能太安全」
是web.config中無法查看或下載的事實是不能保證回答你自己的問題,從您的組織內部的攻擊不會發生。有正確訪問權限的人可能會破壞安全性,並在明顯可見的情況下獲取數據。正如你所說的,通過Http攻擊不太可能得到這個文件,其他具有正確訪問權限的人仍然可以通過其他方式訪問,例如遠程文件訪問,遠程桌面等等。加密+分配正確的訪問/授權使得更加困難攻擊者試圖破壞你的系統。
在安全方面,您只需要偏執狂一些,並採取您認爲可能的一切措施,以使數據儘可能安全,這是您的工作讓攻擊者很難獲取任何信息。我不認爲有這樣的事情是100%安全的。從某種意義上說,你總是容易受到安全威脅,我們所能做的就是儘量減少它。
相關問題
- 1. web.config中的加密連接字符串
- 2. 在web.config中加密連接字符串
- 3. 簡化web.config連接字符串加密
- 4. web.config中的加密和未加密的連接字符串?
- 5. 在C#中的web.config文件中加密連接字符串
- 6. 在web.config中加密連接字符串的最佳方式是什麼?
- 7. 加密web.config中的密碼字符串
- 8. 加密ASP.Net中的數據庫連接字符串Web.config
- 9. 需要在web.config中加密連接字符串和stmp信息
- 10. ASP Membership無法處理web.config中的加密連接字符串
- 11. 加密Web.Config中的連接字符串失敗
- 12. 在web.config中加密的連接字符串發生錯誤
- 13. 爲什麼黑客可以在web.config(C#)中解密我加密的連接字符串
- 14. 加密連接字符串
- 15. 加密連接字符串,怎麼樣?
- 16. web.config中的sqlite連接字符串
- 17. 在Web.config中的連接字符串
- 18. 加密/解密連接字符串
- 19. asp.net mvc 3 web.config連接字符串加密
- 20. web.config中的連接字符串
- 21. 如何從web.config中獲取log4net來解密加密的連接字符串?
- 22. 連接到web.config中的SQL Server數據庫的連接字符串是什麼?
- 23. web.config中的連接字符串安全
- 24. web.Config中的連接字符串
- 25. 如何在Web.config中加密連接字符串 - 退出的內容?
- 26. 在app.config中加密連接字符串
- 27. 確保連接字符串和web.config中
- 28. ASP.NET連接字符串加密/保護
- 29. 爲什麼沒有檢索到Web.config文件中的新連接字符串?
- 30. 連接字符串加密,這是什麼想法?
更正:web.config **應該不可見。存在暴露此文件內容的許多安全漏洞(並在野外看到)。這是關於採取「分層」的安全方法。 – Cheekysoft
你能提供一個這樣的漏洞\ KB的鏈接嗎? – sternr
儘管已經有很多,但您不僅僅想考慮IIS/windows中可能已被修補的問題,安全問題可以在很多方面無意中引入。你的ftp服務器可能有一個允許任意代碼執行的緩衝區溢出,你可能在你的web應用程序中意外地寫入了一個本地文件包含漏洞,你的圖像上傳代碼可能不會驗證文件是否有嵌入腳本並允許它被執行,可能對你的svn repo有一個弱密碼,或者你甚至可以使用一個編輯器來編輯你的web.config文件時保存一個.bak文件。 – Cheekysoft