加密Web.Config中的连接字符串 - 为什么?

时间:2011-09-07 09:18:35

标签: security web-config

我知道可以加密存储在web.config中的连接字符串,
而且我知道你永远不会太安全,但由于无法查看或下载web.config,为什么需要它?以什么方式更安全?

[编辑:]我没有使用共享托管服务器。

3 个答案:

答案 0 :(得分:1)

如果您将网站部署到客户的Web服务器并希望保密凭证。

答案 1 :(得分:1)

如果有人闯入您的服务器,他无法在没有任何进一步工作的情况下查看所有敏感信息。如果您将应用程序部署到某个“云”服务,则您的凭据将不会向维护该服务的所有人公开。

编辑:某些有权访问服务器的管理员或用户也无法读取明文凭据。

答案 2 :(得分:1)

我认为你已经回答了自己的问题,说“你永远不会太安全”

无法查看或下载web.config这一事实并不能保证您组织内部的攻击不会发生。具有正确访问权限的人可能会破坏安全性并获取数据,如果它在明显可见的情况下可见。虽然如你所说,通过Http攻击不太可能获得此文件,其他具有正确访问权限的人仍然可以通过其他方式访问,例如远程文件访问,远程桌面等。加密+分配适当的访问/授权使得有点困难让攻击者试图打破你的系统。

在安全方面,你只需要偏执并采取你认为可能的每一项措施,以使数据尽可能安全,这是你的工作,让攻击者很难找到任何信息。我认为没有100%安全的东西。从某种意义上说,你总是容易受到安全威胁,我们所能做的就是尽可能地减少它。