即使启用了https,您也可以在代码隐藏中为事件日志写入密码。在对数据存储进行检查时,是否可以在代码中对密码进行加密?
(使用登录控制)
(无法对Andrew的答案添加评论,所以我把它放在这里)
NTLM使用用户登录的机器的用户名/密码吗?为此,我在考虑在服务器上使用ActiveDirectory作为数据存储。它将具有与用户当前登录其计算机的不同的un / pw。
答案 0 :(得分:1)
检查SecureString课程。
代表应保密的文字。文本在使用时加密以保护隐私,并在不再需要时从计算机内存中删除。
答案 1 :(得分:1)
如果您在表单提交中发送纯文本密码,则它始终在HttpContext对象中可用。在页面生命周期内无法删除或加密。存储它的能力始终可用,直到完成的页面响应被推送到客户端。除此之外,密码在内存中以明文形式提供,并可通过十六进制编辑器(在RAM中)访问。
如果您担心密码可以在这些时尚中使用,那么通过Windows集成身份验证启用NTLM身份验证可以更好地为您提供服务,该身份验证从爆炸到子弹都有。
答案 2 :(得分:0)
如果您担心明文密码在内存中,只需在工作流程中尽快加密即可。另外,请确保您永远不会将明文密码记录到任何事件日志中。