aspnet_regiisツールを使用して、appsettings/connectionstringsなどを暗号化する方法の両方について、今日のブログ(http://somewebguy.wordpress.com/2009/07/20/is-encrypting-your-web-config-a-waste-of-time/)を読んでいました。web.configの暗号化は無意味ですか?
彼は、これが時間の無駄だと言って、他の人からのフィードバックを受けてフォローアップの投稿をしています。
私の質問は、あなたはどう思いますか?とにかくあなたのweb.configファイルに誰かが物理的にアクセスできるようになるとすぐに完全に縛られていますか?またはこれは価値ある予防措置ですか?
私はそれが無意味だとは思わない。誰かがあなたのWebサーバーにアクセスできない場合、はい、あなたは多くの問題に苦しんでいます。つまり、データベース/中間層/アプリケーションサーバーへのアクセスを同じにする必要があるということですか?
あなたの弱い部分と同じくらい強いです。セキュリティを向上させるために取ることができる措置は良いことですが、これは私が行うものではありません。
私は、人々があなたのweb.configsにアクセスできるようになると、あなたはおそらくさらに悪い問題を抱えていることを共有しています。
私はいつも、サイト内のデータベースにのみdatareader/datawriterを持っているdbユーザー名/パスワードを必ず確認します。
あなたができることの1つは、MSBuild、NAnt、Rakeなどのビルドツールを使用して、配布の一部として暗号化されていることです。この方法では、それほど多くの努力が必要ではなく、チーム
信頼できる接続を使用してデータベースに接続しても、web.configを読むことはデータベースパスワードを取得するのに役立ちません。 –