代码之家  ›  专栏  ›  技术社区  ›  Tim Scarborough

正在加密web.config的节。我应该吗?

asp.net
  •  1
  • Tim Scarborough  · 技术社区  · 16 年前

    我负责在本地Intranet服务器上运行几个ASP.NET Web应用程序。公司之外的用户不应该访问服务器,但我不想在不必要的时候留下任何机会。只有管理员才能访问文件系统。

    我应该加密web.config的app设置和连接字符串部分吗?我并没有经常看到这一点,我想知道这是否是一个过度杀戮或不是一个最佳实践。我在连接字符串中有密码,在应用程序设置中有用于查询广告的服务帐户的帐户信息。

    顺便说一句:我会用 

     Configuration webConfig = WebConfigurationManager.OpenWebConfiguration(System.Web.HttpContext.Current.Request.ApplicationPath);
ConfigurationSection section = webConfig.Sections["connectionStrings"];

if (section != null && !section.SectionInformation.IsProtected)
{
    section.SectionInformation.ProtectSection("DataProtectionConfigurationProvider");
    webConfig.Save();
}
    2 回复  |  直到 16 年前
        1
  •  3
  •   Richard    16 年前

    我应该加密web.config的app设置和连接字符串部分吗?

    如果连接字符串包含密码:那么是的,没有其他合理的选项。

    如果使用集成的安全性连接到数据库,那么信息暴露将是数据库和服务器名称,这不是什么问题。但是,使用始终加密的部署规则可能更容易,因为更简单的规则更容易执行和审计。

    您也可以使用 aspnet_regiis.exe 加密部分,而不是编写自己的代码。进入 aspnet_regiis.exe -? 进入PowerShell(或Cmd)提示查看选项。

        2
  •  1
  •   Moshe    16 年前

    我做了类似的事情来加密web.config文件,我并不后悔。维护它并不复杂,它还增加了另一层防御。因为安全性是内置的,所以这样做没有什么错。

    推荐文章
    Community wiki  ·  为什么使用DirectoryEntry对LDAP进行身份验证会间歇性地抛出COMException(0x8007203A):“服务器不可操作”?
    1 年前
    PixelScribe  ·  实体框架EDMX未更新ASP.NET web应用程序中的连接字符串
    1 年前
    Hua Deng  ·  page_load中的调用方法导致adapter.fill()上出现StackOverflowException,但在其他地方调用时没有问题
    1 年前
    WingiM  ·  REST API-如何实现具有相同名称但可接受参数类型不同的多个方法
    1 年前
    Community wiki  ·  基于两个参数在文本框中使用上下文键自动完成?
    1 年前
    NAM3L3SSRJ  ·  如何在C语言中创建一个方法或函数,在超市销售时减少数据库中的库存
    2 年前
    Javad A salehi  ·  C#如何解析“MyValue”的动态值
    2 年前
    Alıyev Rufet  ·  无法构造某些服务(验证服务描述符的服务类型时出错:Restaurant.Data.IAppRepository
    2 年前
    Geoff  ·  从Microsoft Identify Platform获取访问令牌
    3 年前
    Haim Ohayon  ·  这些链接之间有什么区别?
    3 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号