目前,我们正在开发一个面向公众开放的网站。我们非常注重安全。
我们在web.config上有很多敏感信息,比如db连接字符串,我们应该加密这些数据库连接字符串信息吗?或者,我们应该加密整个web.config文件吗?
有人能告诉我黑客如何获取web.config信息吗?
答案 0 :(得分:1)
web.config特别排除在ASP.NET之外。您无法访问该文件,除非您真的搞砸了(即:您仍然可以从磁盘读取文件并自行提供)。
您不需要为外界提供特殊保护。内部世界可能与外部世界一样危险:如果许多用户可以从组织内部访问web.config文件,则可能会暴露连接字符串中设置的用户名和密码。最好使用集成安全性:您不再需要用户名和密码。它没有比这更安全。