域用户作为应用程序池标识 - 安全漏洞?

时间:2011-10-13 23:48:40

标签: iis iis-7

我们正在为我们的Intranet开发一些Web应用程序和Web服务。要访问数据库或其他数据源等资源,我们使用技术域用户并将其凭据存储在Web应用程序的配置文件中。密码必须在写入文件之前加密。 (然后应用程序必须对其进行解密才能访问资源。)

我们这样做了很长一段时间,但现在讨论了。我们的服务器运营团队突然认为将密码存储在配置文件中是不安全的,因为攻击者可能会成功解密它,可能是通过分析用于加密的小工具。 (它是用.Net编写的,所以确实使用Reflector& Co.分析使用的算法并不是很难) 作为替代方案,他们建议将技术用户帐户用作应用程序池安全上下文。但我不确定这是否意味着用实际的安全漏洞取代一个可能的安全漏洞:如果应用程序池在域用户的上下文中运行,则攻击者不必再知道密码了。他只是可以在应用程序中使用安全漏洞,或尝试以某种方式在此应用程序池下运行自己的代码。

你是什​​么意思?是否有最佳做法来处理Web应用程序中的密码?

谢谢, 罗茨科

1 个答案:

答案 0 :(得分:0)

域用户运行应用程序的常见做法。只需确保帐户占用空间非常小 - 只需要。