加密web.config有什么意义? ASP.NET

时间:2010-12-14 00:55:39

标签: asp.net encryption web-config

Oi,一些供应商告诉我的老板,不加密web.config是一个很大的安全漏洞。这对我来说听起来很像。我的意思是,如果有人妥协了服务器,我们还不是搞砸了吗?

4 个答案:

答案 0 :(得分:5)

就像@Joelt建议的那样,ASP.NET最近出现了一个安全问题,允许人们访问根网络中的文件等。现在,这个问题可能已存在很长时间了。或者,现在可能存在一个秘密缺陷,除了一些不明智的人之外没有人知道......这意味着我们现在都很脆弱。我的意思是,直到ASP.NET团队(以及安全人员在他们之前一两周)宣布以前的缺陷......在野外有多长时间了?有多少人利用了这个?

所以 - 这是一般的想法。如果由于某种原因存在缺陷 - 人们可以远程访问文件 - 包括web.config - 那么您的数据就可以知道。

现在 - 踢球者就是这个。所以..有人可能会发现我的DB名称,DB ip addy和DB密码..对吗?但他们需要访问我的内部数据库......祝你好运。但是,我的web.config可能有我的Twitter用户名密码? (丁!光刚打开)。我的第三方api用户名/密码。等

这就是真正的安全问题所在,IMO。

如果你学习我公司的推特用户名/​​密码,然后开始破坏我们的推特账号,我就讨厌它。

答案 1 :(得分:4)

加密并不意味着您受到保护。解密所需的私钥存储在服务器上,因此如果您的服务器受到威胁,您的web.config可以被解密。

我们只加密web.config的连接字符串部分。它有助于防止其他窥探者轻易访问我们的连接字符串,尤其是在开发环境中(通常比生产环境安全性低得多)。

加密只是分层安全性的一小部分。它绝不是保护敏感信息的最终解决方案。

答案 2 :(得分:2)

ASP.net最近发布了一个安全漏洞,它允许远程用户访问web根目录中的任何文件,包括web.config,而无需访问整个服务器。此外,web.config中可能存在登录信息,允许一台服务器危及另一台服务器。

答案 3 :(得分:1)

排序。在我的情况下,我托管共享主机帐户。因此,很多人都可以访问我的帐户和存储在那里的文件。

就个人而言,我并不担心太多。但是,如果有人有心思,他们就可以访问这些信息。即使您拥有服务器,如果它是一家公司,那么可能会有很多人可以访问它。

对于关键数据,加密它是有道理的。