通常、アプリケーションとその設定は同じマシン内にあり、誰かがそのマシンをハッキングすると、設定ファイルにアクセスしてデータベースにアクセスできますが(その設定ファイルにあるDBのユーザー名とパスワードを使用します) 。 configファイルの情報をハッシュして、純粋なテキストファイルの代わりにそのファイルを使用するとどうなりますか?それ以上のアイデアはありますか?クラウドインフラを使用したくないとしましょう。単一のマシンだけです。ハッシュ/暗号化設定ファイル情報
ハッシュ関数は一方向性関数です。設定ファイルをハッシュすると、アプリケーションがそのファイルを処理するための "ハッシュ解除"することができなくなります。暗号化はおそらくほとんどの人が使っているものですが、依然としてリバースエンジニアリングの影響を受けます。
ハッシングは、one-way processです。最も一般的には、情報が改ざんされていないことを確認するために使用されます。あなたの設定ファイルをハッシュすると、基本的に意味のない文字列が得られます。この文字列はデータベース接続を確立するために使用できません。
もちろん、設定ファイルを暗号化することはできますが、同じ問題があります。理論上Webアプリケーションにアクセスできる攻撃者は、復号鍵を取得して設定を復号化することができます。サーバプロセスのメモリを検査することによって実行時に見つけ出すことさえできるかもしれません。
重要な点は、あなたのWebサーバーにアクセスする攻撃者は、ほとんど止めることが不可能だということです。おそらくサーバーに出入りするすべてのトラフィックにアクセスでき、サーバー上のすべてのファイルを読むことができます少なくともウェブアプリケーションユーザが読むことができるもの)、それらはサーバ上で任意のコードを実行することができるかもしれない。この事態を防ぐことは、あなたの時間を最大限に活用することではありません。正面玄関が安全でない場合に備えて、寝室にロックするような投資です。フロントドアを固定する方がはるかに優れています。
この問題を解決する最善の方法は、使用しているWeb言語/フレームワークを構築した人々に解決させることです。言語やフレームワークは指定しませんが、ツールセットのセキュリティガイダンスを読み、推奨事項を実装してください。 OWASPのガイドラインもご覧ください。