Oi、一部のベンダーは私の上司にweb.configの暗号化が大きなセキュリティホールであるとは伝えていません。これは私にとってバカのように聞こえる。つまり、誰かがサーバーを妥協した場合、私たちはどうにかしていませんか?web.configを暗号化するポイントは何ですか? ASP.NET
答えて
暗号化はあなたが保護されていることを意味するものではありません。復号化に必要な秘密鍵はサーバーに保存されているため、サーバーが侵害された場合、web.configを復号化することができます。
web.configの接続文字列セクションのみを暗号化します。特に、開発環境では、接続文字列に簡単にアクセスできないようにするのに役立ちます(は、多くの場合、本番環境のセキュリティよりはるかに安全ではありません。)。
暗号化は、レイヤードセキュリティのほんの一部です。これは決して機密情報を保護するための最終的なソリューションではありません。
ASP.netに最近公開されたセキュリティホールにより、リモートユーザーはweb.configを含むWebルート内のファイルにサーバー全体にアクセスすることなくアクセスできました。さらに、Web.configにログイン情報があると、あるサーバーを侵害して別のサーバーを侵害する可能性があります。
並べ替え私の場合、私は共有ホスティングアカウントでホストします。だから、多くの人が私のアカウントとそこに保存されているファイルにアクセスできます。
私は個人的にはあまり気にしません。しかし、もし誰かが気になっていたら、その情報にアクセスすることができます。サーバーを所有していても、企業の場合は、アクセスできる人がたくさんいる可能性があります。
重要なデータについては、それを暗号化することは意味があります。
誰かがあなたの暗号化された設定ファイルを見ても、コードを含むファイルを見て、それをどのように暗号化しているのか分かりませんでしたか? –
暗号化されていないパスワードを一目で確認するだけで十分です。暗号化されている場合、暗号化されたデータ、使用されているパスワード/キー、使用されているアルゴリズムを知る必要があり、コンピュータ上でアルゴリズムを実行する必要があります。そして、すべてのデータは覚えにくいでしょう。私は誰もデータを解読できないと言っているのではなく、それが気軽にやり遂げることができればもっと可能性が高いということだけです。 –
ありがとうジョナサン! –
@Joeltさんが提案したように、ASP.NETには最近セキュリティの問題があり、人々がルートWebなどのファイルにアクセスできるようになりました。今、この問題は長い間存在していた可能性があります。あるいは、今のところ秘密の欠陥があるかもしれません。だから、誰も知らない人たちはいくつかのリート・パンクを除いています...つまり、今はすべて脆弱です。 ASP.NETチーム(そしてその前の1〜2週間のセキュリティスタッフ)がこれまでの欠陥を発表してから、どれくらいのことが野生で起こったのでしょうか?どれくらいの人がそれを悪用した?
これは一般的な考えです。なんらかの理由で、人々がWeb.configを含むファイルにリモートからアクセスできる場所に欠陥があると、あなたのデータを知ることができます。
今、キッカーはこれです。だから、誰かが私のDB名、DBのip addyとDBのパスワードを知っているかもしれません..そうですか?彼らは私の内部DBにアクセスする必要があります...そこには幸運があります。しかし、私のweb.configはそこに私のTwitterユーザー名パスワードを持っているかもしれませんか? (Ding!ライトがちょうどオンになった)。私のサードパーティのAPIのユーザ名/パスワード。
実際のセキュリティ上の問題点は、IMOです。
私の会社のTwitterユーザー名/パスワードを覚えてからtwitterアカウントを破損した場合、私はそれが嫌いです。
+1接続文字列以外の機密データの他のタイプに言及してください。 –
- 1. Web.configを暗号化するWindows Azure
- 2. web.configのパスワードのみを暗号化するASP.NET
- 3. WebサイトのWeb.config暗号化
- 4. ASP.Net Web.configのデータベース接続文字列を暗号化します
- 5. web.configの暗号化は無意味ですか?
- 6. パッケージ化されたASP.NETソリューションのWeb.Config値を暗号化します
- 7. web.configファイルのelmahセクションの暗号化
- 8. 共有ホスティングでweb.configを暗号化する
- 9. ASP.net ViewStateの暗号化と復号化
- 10. Web.configのsystem.web/membership/providersを暗号化することは可能ですか?
- 11. 暗号化、復号化、ハッシュを呼び出すクラスとは何ですか?
- 12. web.configを暗号化してリモートサーバーに展開する
- 13. web.configファイルにパスワードを暗号化して保存する
- 14. ASP.Net MVCとWebAPI暗号化
- 15. aspnet_regiisでAES暗号化を選択/適用してweb.config値を暗号化するにはどうすればよいですか?
- 16. サーバーから暗号化し、クライアントで暗号化を解除します(クライアントでは暗号化しません)。
- 17. C#暗号化されたデータをJavascriptで暗号化する
- 18. ウェブファームのweb.configを暗号化しています
- 19. ASP.NET MembershipProviderをカスタム暗号化で設定するには?
- 20. モノでweb.configの設定セクションを暗号化
- 21. ASP.Netでファイルを暗号化し、Silverlightで復号化するにはどうすればよいですか?
- 22. ASP.NET MVC 3でのパスワードの暗号化
- 23. 標準の暗号化ファイル形式は何ですか?
- 24. firefoxプロファイルのkey3.dbデータベースの暗号化キーは何ですか?
- 25. 接続文字列の暗号化、アイデアは何ですか?
- 26. web.configのセクションの暗号化。したほうがいい?
- 27. 暗号化は
- 28. node.js:暗号化する必要があるデータを暗号化しますか?
- 29. Asp.net MVC 3隠し値を暗号化
- 30. web.configファイルを暗号化し、ファイルへのパスを供給
誰かがリモートでWeb設定を表示して、DBクレデンシャルを取得します。それから、私たちのネットワークに入るには何らかの穴が必要でしょうか? –
接続文字列が分かっていれば、SQL Serverをリモートで使用して、データベースで必要な作業を行うことができます。 –
asp.netで基本的なメンバーシップ/ロール/ユーザプロバイダを使用している場合は、Web.configの平文でユーザ名とパスワードを保存することができます。私たちは、pplがそれをやっているかどうかは、精神的な機関で直接指示すべきかどうかを議論することはできますが、canとpplがweb.configに感覚的なデータを持っているという事実は変わりません。 –