web.config加密网站

时间:2013-06-19 10:58:36

标签: azure web-config connection-string

我已经找到了有关如何使用自定义提供程序和Web角色证书加密web.config的信息,以便保护连接字符串和其他设置。

这也适用于网站吗?如果不是,我如何保护我的网站连接字符串?我知道我可以在天蓝色门户网站中管理连接字符串,但这些字符串也以明文形式存储。因此,如果有人获得对web.config或azure管理的访问权限,他将能够读取所有数据。

另见:

http://www.heikniemi.net/hardcoded/2013/06/encrypting-connection-strings-in-windows-azure-web-applications/comment-page-1/#comment-173488

http://blogs.msdn.com/b/sqlazure/archive/2010/09/10/10060395.aspx

1 个答案:

答案 0 :(得分:3)

在与网站关联的Azure配置信息中存储键值字符串对(连接字符串和其他机密)。这些敏感信息从未在web.config

中显示为明文

http://azure.microsoft.com/blog/2013/07/17/windows-azure-web-sites-how-application-strings-and-connection-strings-work/

这应该足够安全 - 如果天蓝色的管理员凭据受到损害,你会失去一切,而不仅仅是连接字符串 - 攻击者可以简单地使用网站远程调试来获取任何信息,即使你有办法加密/ decrypt连接字符串。

-Simon。