我今天正在阅读一篇关于如何使用aspnet_regiis工具加密appsettings / connectionstrings等的博客(http://somewebguy.wordpress.com/2009/07/20/is-encrypting-your-web-config-a-waste-of-time/)。
他有一个跟进帖子,其他人反馈说这是浪费时间。
我的问题是,你怎么看?一旦任何人获得对web.config文件的物理访问权限,你是否完全被冲洗了?或者这是一个值得预防的事情吗?
答案 0 :(得分:10)
我认为这毫无意义。如果有人可以访问您的Web服务器,是的,您遇到了很多麻烦。这是否意味着您需要允许它们获得对数据库/中间层/应用程序服务器的相同访问权限?
答案 1 :(得分:3)
你只有最弱的部分才能坚强。你可以采取任何措施来提高安全性是一件好事,虽然这不是我做的事情。
我认为如果人们可以访问你的web.configs,你可能会担心更糟糕的问题。
我总是确保存储在其中的任何数据库用户名/密码都只有站点数据库上的datareader / datawriter。
你可以做的一件事是使用MSBuild,NAnt,Rake等构建工具将它们作为部署的一部分进行加密。这样做不是太费力,因此更有可能被团队接受