ASP.NET MVCアプリケーションの他のパラメータ、つまりタイムアウト時間などとして、ユーザ名&のパスワードをweb.configファイルに保存するのは安全ですか?そうでない場合、公開されたサーバー上のweb.configファイルでこれらのパラメータをエンコードできないように、これらのパラメータを保護することは可能ですか?一方、ユーザ名&のパスワードと他の定数パラメータを静的な値としてクラス(* .cs)ファイルに保存することをお勧めしますか?このようなパラメータを保存するために、どのアプローチが優れているかを私に明確にしてください。機密情報(ユーザー名とパスワード)をweb.configに保存していますか?
0
A
答えて
1
は、これらのリンクをチェック:
http://www.4guysfromrolla.com/articles/021506-1.aspx
http://www.aspnettutorials.com/tutorials/advanced/encrypt-conn-str-asp4-cs.aspx
はいっそのこと、SQL Serverのセキュリティを使用して、代わりに統合セキュリティを使用してアカウントだけを許可していないウェブアプリ(プール)はへの下で実行されますDBにアクセスします。
1
重要なデータは決してソースコードに保存しないでください。 configSource
属性を使用して、<connectionStrings>
マークアップ全体を置き換えることができます。
<connectionStrings configSource="ConnectionStrings.config">
</connectionStrings>
ConnectionStrings.config
は、Web.configと同じフォルダにある必要があります。設定ファイルはIISによって提供されないので、拡張子.configを保持することをお勧めします。 このファイルは、バージョン管理システムでは無視する必要があります。ご協力いただきありがとうござい@Steve
関連する問題
- 1. Crystalに機密情報が保存されていますか?
- 2. 機密情報をWebアクセス可能なディレクトリに保存していますか?
- 3. jhipster application-prod.ymlはgithubの機密情報を保存します
- 4. 機密情報をkeepassデータベースの中に保存するC#
- 5. パスワードと情報をデータベースに保存する際にユーザー名をハッシュする必要がありますか?
- 6. PhoneGapの機密情報を保護しますか?
- 7. 機密情報を保存する場所は?
- 8. githubから機密情報(パスワードなど)を隠す
- 9. Androidアプリにユーザー名とパスワードを保存
- 10. 匿名ユーザーから登録情報を保存する
- 11. SAMLRequestに保持されている機密情報はありますか?
- 12. デモのユーザー名とパスワードを保存
- 13. パスワードをユーザー名とは別に保存します。
- 14. ユーザー名/パスワードをCookieに保存しようとしています。 JQuery
- 15. ユーザー情報がデータベースに保存されていません
- 16. SQL Server 2008のDBAから機密情報を保護する
- 17. パスワードをレジストリに "秘密"として保存する
- 18. 機密情報をログファイルに隠す
- 19. 機密情報をクラウドファンクションに渡す
- 20. PIIと機密情報を含む列のデータベース命名
- 21. Umbracoはバージョン情報をデータベースに保存していますか?
- 22. アンドロイドスタジオに情報を保存していますか?
- 23. google-services.jsonは機密情報ですか?
- 24. AppIDプレフィックスの機密情報ですか?
- 25. OAuthアクセストークンは機密情報ですか?
- 26. 機密情報をWeb.configファイルに入れることは悪い習慣ですか?
- 27. 共有プリファレンスでユーザー名とパスワードを保存したい
- 28. 機密データをfiremonkeyのパスワードとして保存する方法は?
- 29. データベースに元に戻す情報とやり直し情報を保存していますか?
- 30. UIWebViewはユーザー名とパスワードを保存しません
に(http://stackoverflow.com/questions/3349551/encrypting-app-config-file)[app.configファイルを暗号化する] – Steve
。私は、アプリケーションが公開されているサーバーにアクセスできる人を「公開されたサーバー上のweb.configファイルにエンコードできません」という意味です。ですから、web.configオプションを使用すると、あなたが示唆したように暗号化を使用する必要があります。一方、クラスファイルオプションを使うことも良いようですが、大きなプロジェクトではないリソースプロジェクトを作成する必要はないと思います。その場合、web.configではなくすべてのパスワードまたはユーザーパラメータを保存するために、クラスファイル、つまりConstantを使用することをお勧めしますか? –
本当にありません。 NETコードは簡単に逆コンパイルすることができます。また、ある種の難読化では、一定の文字列を隠すことは困難です。コードが実行されているコンピュータへのアクセスを物理的に禁止することができない場合は、本当に安全です。少なくとも遠く離れた場所にいる見守り人を引き付けるのに十分なほど強力な暗号化があります。すべてはどれくらい安全である必要があるかによって異なります。 – Steve