Bif*_*iff 4 asp.net encryption web-config
Oi,一些供应商告诉我的老板,不加密web.config是一个很大的安全漏洞.这对我来说听起来很像.我的意思是,如果有人妥协服务器,我们是不是还要搞砸了?
就像@Joelt建议的那样,ASP.NET最近有一个安全问题,它允许人们访问根网站中的文件等.现在,这个问题可能已存在很长时间了.或者,现在可能存在一个秘密缺陷,除了一些不明智的人之外没人知道......这意味着我们现在都很脆弱.我的意思是,直到ASP.NET团队(以及安全人员在他们之前一两周)宣布以前的缺陷......在野外多长时间了?有多少人利用了这个?
所以 - 这是一般的想法.如果出于某种原因存在缺陷 - 人们可以远程访问文件 - 包括web.config - 那么您的数据就可以知道.
现在 - 踢球者就是这个.所以..有人可能会发现我的DB名称,DB ip addy和DB密码..对吗?但他们需要访问我的内部数据库......祝你好运.但是,我的web.config可能有我的Twitter用户名密码?(丁!光刚打开).我的第三方api用户名/密码.等等
这就是真正的安全问题所在,IMO.
如果你学习我公司的推特用户名/密码然后开始破坏我们的推特帐户,我会讨厌它.
加密并不意味着您受到保护。解密所需的私钥存储在服务器上,因此如果您的服务器受到威胁,您的 web.config 可以被解密。
我们只加密 web.config 的连接字符串部分。它有助于防止其他窥探者轻松访问我们的连接字符串,尤其是在开发环境中(通常比您的生产环境安全得多)。
加密只是分层安全的一小部分。它绝不是保护您的敏感信息的最终解决方案。
| 归档时间: |
|
| 查看次数: |
615 次 |
| 最近记录: |