0
現在、一般向けに公開されているWebサイトを開発中です。我々はセキュリティに大きな注意を払っている。暗号化されたweb.configがベストプラクティス
私たちはこれらのdb接続文字列情報を暗号化する必要がありますか?db接続文字列のようなweb.configの多くの機密情報を持っていますか?代わりに、web.configファイル全体を暗号化する必要がありますか?
誰でも私にハッカーがweb.config情報を取得する方法を教えてもらえますか?
機密情報はすべて暗号化する必要があります。残りは意見があります。ハッカーが暗号化されていないweb.configファイルを保持する方法は、アプリケーションのセキュリティホール(ファイルをダウンロードするためのパスの妥当性を確認)、サーバーソフトウェア(IIS?)のセキュリティホール、まったく異なるセキュリティホール少なくともあなたのファイルに対する読み取りアクセス権を持つユーザーのもとで実行されるアプリケーション、およそ100万の理由で、建物に侵入してサーバー全体を奪う「ハッカー」が含まれます。 –
Windowsセキュリティと特定の制限付きの特権を持つドメインアカウントを使用した場合は、接続文字列を暗号化する必要はありません。パスワードを紛失してもパスワードを失う危険はありません。サービスアカウントのパスワードを変更する方がはるかに簡単です –
@PanagiotisKanavosのコメントによれば、機密情報が存在する必要はありませんが、環境の一部であるメカニズムに組み込まれることをお勧めします。 –